Hi!
> Jelen pillanatban a 10.0.0.n szegmensbe működik a VPN, a másik még ezt > követően kerül kialakításra. A tűzfalon volt egy ilyen üzenetem: > > FORWARD packet died: IN=br10 OUT=br10 PHYSIN=tap10 PHYSOUT=eth1.10 > SRC=10.0.0.151 DST=10.0.0.4 LEN=60 TOS=0x00 PREC=0x00 TTL=128 ID=5360 > PROTO=ICMP TYPE=8 CODE=0 ID=1024 SEQ=2048 Ez annyit jelent, hogy a br10 if-en bejövő csomag a br10 if-en is akart kimenni, de gondolom ez nem lett megengedve. Az ok jól látszik: PHYSIN=tap10 azaz az openvpn-en jött be, PHYSOUT=eth1.10 azaz a helyi háló felé mutató hálókártyán ment ki. > Ezt "orvosoltam" imigyen: > > iptables -I FORWARD -i br10 -j ACCEPT Ez szerintem két okból nem jó: - nem korrekt, ha csak ezt akarod orvosolni vele, akkor nem elég a -i br0, hanem kell a -o br0 is! Így ez kicsit több engedélyt ad, mint az ideális lenne. - szerintem nem így kéne orvosolni. echo "0" > /proc/sys/net/bridge/bridge-nf-call-iptables és már nem is adja fel az iptables felé azokat a csomagokat, amelyek forgalma tisztan a bridge interface-k között mennének Zsolt _________________________________________________ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
