URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 73816
[ Назад ]

Исходное сообщение
"Routing помогите!"
Отправлено IgorX , 01-Май-07 08:46

Привет!
Помогите пож.- файрволл блокирует траффик между внутренними интерфейсами tun0 и eth1
в обоих направлениях
gw252 kernel: Denied LAN out: IN=tun0 OUT=eth1 SRC=192.168.0.2 DST=192.168.4.253
пытался разрешить это так:
iptables -A FORWARD -i tun0 -s 192.168.0.0/8 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -s 192.168.4.0/8 -o tun0 -j ACCEPT
не помогает, что делать?
(Asp11 )
--
Спасибо

Содержание

Routing помогите!,rmf, 09:23 , 01-Май-07
- Routing помогите!,exn, 16:43 , 01-Май-07
- Routing помогите!,IgorX, 20:23 , 01-Май-07
  - Routing помогите!,rmf, 11:36 , 02-Май-07
    - Routing помогите!,IgorX, 14:00 , 02-Май-07

Сообщения в этом обсуждении

"Routing помогите!"
Отправлено rmf , 01-Май-07 09:23

iptables-save

"Routing помогите!"
Отправлено exn , 01-Май-07 16:43

>iptables-save
не помогло :D

"Routing помогите!"
Отправлено IgorX , 01-Май-07 20:23

>iptables-save
посмотрите - может предложите чтото?
-A INPUT -i ppp0 -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -i ppp0 -p icmp -m icmp --icmp-type 3 -j DROP
-A INPUT -i ppp0 -p icmp -m icmp --icmp-type 4 -j DROP
-A INPUT -i ppp0 -p icmp -m icmp --icmp-type 11 -j DROP
-A INPUT -i ppp0 -p icmp -m icmp --icmp-type 12 -j DROP
-A INPUT -i ppp0 -p icmp -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "ICMP(other) flood: " --log-level 6
-A INPUT -i ppp0 -p icmp -j DROP
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -m limit --limit 1/sec -j LOG --log-prefix "Dropped INPUT packet: " --log-level 6
-A INPUT -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -p icmp -m icmp --icmp-type 8 -m state --state INVALID -m limit --limit 1/min --limit-burst 2 -j LOG --log-prefix "IN
-A FORWARD -p icmp -m icmp ! --icmp-type 8 -m state --state INVALID -m limit --limit 1/min --limit-burst 2 -j LOG --log-prefix "
-A FORWARD -p ! icmp -m state --state INVALID -m limit --limit 1/min --limit-burst 2 -j LOG --log-prefix "INVALID FORWARD packet
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j SPOOF_CHECK
-A FORWARD -i ppp0 -j VALID_CHECK
-A FORWARD -i ppp0 -j RESERVED_NET_CHECK
-A FORWARD -i ppp0 -o ! ppp0 -j ACCEPT
-A FORWARD -m limit --limit 1/sec -j LOG --log-prefix "Dropped FORWARD packet: " --log-level 6
-A FORWARD -j DROP
-A FORWARD -s 192.0.0.0/255.0.0.0 -i eth1 -o tun0 -j ACCEPT
-A FORWARD -s 192.0.0.0/255.0.0.0 -i tun0 -o eth1 -j ACCEPT
-A OUTPUT -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -f -m limit --limit 3/min -j LOG --log-prefix "FRAGMENTED PACKET (OUT): " --log-level 6
-A OUTPUT -f -j DROP

"Routing помогите!"
Отправлено rmf , 02-Май-07 11:36

1)
...
> -A FORWARD -j DROP
# этим правилом ты блокируешь все форвардные соединения
> -A FORWARD -s 192.0.0.0/255.0.0.0 -i eth1 -o tun0 -j ACCEPT
> -A FORWARD -s 192.0.0.0/255.0.0.0 -i tun0 -o eth1 -j ACCEPT
# с учетом порядка - эти две строчки уже бессмысленны
...
2) и где цепочка "SPOOF_CHECK"?
Совет: видимо придется все-же читать мануалы по iptables
за тебя это никто не сделает

"Routing помогите!"
Отправлено IgorX , 02-Май-07 14:00

>1)
>...
>> -A FORWARD -j DROP
># этим правилом ты блокируешь все форвардные соединения
>
>> -A FORWARD -s 192.0.0.0/255.0.0.0 -i eth1 -o tun0 -j ACCEPT
>> -A FORWARD -s 192.0.0.0/255.0.0.0 -i tun0 -o eth1 -j ACCEPT
># с учетом порядка - эти две строчки уже бессмысленны
>
>...
>2) и где цепочка "SPOOF_CHECK"?
>
>Совет: видимо придется все-же читать мануалы по iptables
>за тебя это никто не сделает

Согласен с советом :-)
Спасибо!