Dotaz: gre, ipsec a firewall

pekny den,

mam rozbehany tunel GRE s IPSec v transportnom mode (implementacia v 2.6 kerneli) a rozmyslal som ako nastavit firewall. nemam ale na mysli povolenie udp 500, esp a ah, ale cestu paketu z vnutornej siete az po encapsulovany paket smerovany do internetu.

vnutorne rozhranie je povedzme eth0, vonkajsie eth1.

takze:
1) paket (napr. ftp prenos) z vnutornej siete vstupuje cez rozhranie eth0
2) odtial postupuje do virtualneho rozhrania pre GRE tunel, povedzme tunel0 a pre firewall je to teda tcp/ip_port_22 paket s input interface eth0 a output interface je tunel0
5) dalej len viem, ze ESP paket opusta rozhranie eth1

viete niekto o tom nieco viac, teda ak by som chcel filtrovat napriklad GRE pakety a podobne.

ako mate nastaveny firewall v kombinacii s IPSecom vy?