為什麼在 MacOS Sierra 上啟動 VPN 時 /usr/sbin/racoon 需要入站連接

今天，當 Little Snitch 警告我它正在阻止聯繫 /usr/sbin/racoon 的入站嘗試時，我正在使用 Little Snitch 監控我的網路訪問並連接到 Avast SecureVPN。我做了研究，知道 racoon 是 IPsec IKE 守護程序，所以我認為它與密鑰和 IPsec 有關，但如果 Avast 能夠建立 VPN，為什麼 racoon 需要參與？當 VPN 斷開連接時，不再聯繫 racoon。入站連接嘗試似乎相隔大約 5 分鐘。

要使用 IPSec，雙方都需要一些密鑰交換工具。您可以手動進行密鑰交換，但沒有人這樣做。用於密鑰交換的名為 ISAKMP/IKE 的協議。它使用udp/500. 在 *BSD 系統上使用 racoon 守護程序。由於密鑰交換發生在第一次連接時，然後密鑰會定期更新，因此您需要接受傳入udp/500的 IPSec 才能工作。

如果您關閉udp/500IPSec 可能會檢測到它並使用 NAT 遍歷 ( https://en.wikipedia.org/wiki/NAT_traversal#IPsec ) ( udp/4500)，它允許客戶端不接受傳入連接。這可能是你的情況。

引用自：https://unix.stackexchange.com/questions/375248