URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 96482
[ Назад ]

Исходное сообщение
"iptables, трафик через туннель"
Отправлено Студент , 26-Фев-16 16:25

Добрый день.
Есть туннель до удаленного сервера за которым находится сеть 192.168.0.0/16
ifconfig tun1 10.5.0.2 pointopoint 10.5.0.1 up
route add -net 192.168.0.0/16 gw 10.5.0.1
как только закрываю фаерволл трафик через туннель перестает идти
пробовал такие правила
iptables -A INPUT -s 192.168.0.0/16 -d 193.*.*.* -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/16 -s 193.*.*.* -j ACCEPT
не работает, узлы 192.168.0.0/16 не пингуются, тогда сделал так
$iptab -A INPUT -i tun1 -j ACCEPT
$iptab -A OUTPUT -o tun1 -j ACCEPT
тоже не помогло
правила находятся в самом верху, так что их ничего не перекрывает
на всякий случай вот вывод tcpdump
root@local:~# tcpdump -n -i tun1 | grep 192.168.10.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun1, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
16:11:11.071042 IP 192.168.10.143.5056 > 193.*.*.*.20268: Flags [P.], seq 187769413:187769485, ack 1704988233, win 32120, length 72
16:11:11.108268 IP 193.*.*.*.20268 > 192.168.10.143.5056: Flags [.], ack 72, win 31624, length 0
16:11:11.176773 IP 192.168.10.9.4423 > 193.*.*.*.20268: Flags [P.], seq 126976755:126976821, ack 2087234628, win 32120, length 66
16:11:11.176788 IP 193.*.*.*.20268 > 192.168.10.9.4423: Flags [.], ack 66, win 40200, length 0

помогите пожалуйста написать правила, которые разрешат трафик через туннель

Содержание

iptables, трафик через туннель,PavelR, 17:23 , 26-Фев-16
- iptables, трафик через туннель,Студент, 17:31 , 26-Фев-16
  - iptables, трафик через туннель,Andrey Mitrofanov, 17:41 , 26-Фев-16
  - iptables, трафик через туннель,eRIC, 17:45 , 26-Фев-16
- iptables, трафик через туннель,eRIC, 17:41 , 26-Фев-16
  - iptables, трафик через туннель,Студент, 17:57 , 26-Фев-16

Сообщения в этом обсуждении

"iptables, трафик через туннель"
Отправлено PavelR , 26-Фев-16 17:23

> как только закрываю фаерволл трафик через туннель перестает идти
Вы в курсе, что для того, чтобы туннель работал, нужно разрешить траффик самого туннеля?

"iptables, трафик через туннель"
Отправлено Студент , 26-Фев-16 17:31

>> как только закрываю фаерволл трафик через туннель перестает идти
> Вы в курсе, что для того, чтобы туннель работал, нужно разрешить траффик
> самого туннеля?
так вот же оно
$iptab -A INPUT -i tun1 -j ACCEPT
$iptab -A OUTPUT -o tun1 -j ACCEPT
Или я чего-то не понимаю?

"iptables, трафик через туннель"
Отправлено Andrey Mitrofanov , 26-Фев-16 17:41

>>> как только закрываю фаерволл трафик через туннель перестает идти
>> Вы в курсе, что для того, чтобы туннель работал, нужно разрешить траффик
>> самого туннеля?
> так вот же оно
> $iptab -A INPUT -i tun1 -j ACCEPT
> $iptab -A OUTPUT -o tun1 -j ACCEPT
> Или я чего-то не понимаю?
Не в курсе, значит.
-A INPUT -p udp --sport 1024:65535 --dport 1194 -m state --state NEW\,ESTABLISHED -j ACCEPT
-A OUTPUT -p udp --sport 1194 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
Или что-то типа.

"iptables, трафик через туннель"
Отправлено eRIC , 26-Фев-16 17:45

> так вот же оно
> $iptab -A INPUT -i tun1 -j ACCEPT
> $iptab -A OUTPUT -o tun1 -j ACCEPT
> Или я чего-то не понимаю?
нет не оно, когда запускаете файрволл, срабатывает DEFAULT правило= ВСЕ ЧТО НЕ РАЗРЕШЕНО, ЗАПРЕШЕНО и туннель падает.
iptables -L -v -n в студию
должны быть правила для самого туннеля типа:
# GRE-трафик
iptables -A INPUT -p gre -j ACCEPT

"iptables, трафик через туннель"
Отправлено eRIC , 26-Фев-16 17:41

> Вы в курсе, что для того, чтобы туннель работал, нужно разрешить траффик
> самого туннеля?
+1

"iptables, трафик через туннель"
Отправлено Студент , 26-Фев-16 17:57

Вот я тормоз, добавил правила
$iptab -A INPUT -p gre -j ACCEPT
$iptab -A OUTPUT -p gre -j ACCEPT
заработало
Спасибо.