Re: VPN és tűzfal beállítás
On Wed, 26 Nov 2008, Zs wrote: > > FORWARD packet died: IN=br10 OUT=br10 PHYSIN=tap10 PHYSOUT=eth1.10 > > SRC=10.0.0.151 DST=10.0.0.4 LEN=60 TOS=0x00 PREC=0x00 TTL=128 ID=5360 > > PROTO=ICMP TYPE=8 CODE=0 ID=1024 SEQ=2048 > Ez annyit jelent, hogy a br10 if-en bejövő csomag a br10 if-en is akart > kimenni, > de gondolom ez nem lett megengedve. Az ok jól látszik: PHYSIN=tap10 azaz > az openvpn-en jött be, PHYSOUT=eth1.10 azaz a helyi háló felé mutató > hálókártyán ment ki. Köszönöm az értelmezést! > - szerintem nem így kéne orvosolni. > echo "0" > /proc/sys/net/bridge/bridge-nf-call-iptables > és már nem is adja fel az iptables felé azokat a csomagokat, amelyek > forgalma tisztan a bridge interface-k között mennének Köszönöm! Eddig bridgere nem volt szükségem, így nagyon nem is foglalkoztatott. Közben a kezdő listán tegnap feltett kérdésemre Lajber Zoltán is ugyanezt ajánlotta, ezúton neki is köszönöm! -- (O__-- //\ / Varosi Csokonai Konyvtar // ) | Tel.: 59/503-152 V__/_[EMAIL PROTECTED] \ [EMAIL PROTECTED] _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: VPN és tűzfal beállítás
Hi! > Jelen pillanatban a 10.0.0.n szegmensbe működik a VPN, a másik még ezt > követően kerül kialakításra. A tűzfalon volt egy ilyen üzenetem: > > FORWARD packet died: IN=br10 OUT=br10 PHYSIN=tap10 PHYSOUT=eth1.10 > SRC=10.0.0.151 DST=10.0.0.4 LEN=60 TOS=0x00 PREC=0x00 TTL=128 ID=5360 > PROTO=ICMP TYPE=8 CODE=0 ID=1024 SEQ=2048 Ez annyit jelent, hogy a br10 if-en bejövő csomag a br10 if-en is akart kimenni, de gondolom ez nem lett megengedve. Az ok jól látszik: PHYSIN=tap10 azaz az openvpn-en jött be, PHYSOUT=eth1.10 azaz a helyi háló felé mutató hálókártyán ment ki. > Ezt "orvosoltam" imigyen: > > iptables -I FORWARD -i br10 -j ACCEPT Ez szerintem két okból nem jó: - nem korrekt, ha csak ezt akarod orvosolni vele, akkor nem elég a -i br0, hanem kell a -o br0 is! Így ez kicsit több engedélyt ad, mint az ideális lenne. - szerintem nem így kéne orvosolni. echo "0" > /proc/sys/net/bridge/bridge-nf-call-iptables és már nem is adja fel az iptables felé azokat a csomagokat, amelyek forgalma tisztan a bridge interface-k között mennének Zsolt _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
VPN és tűzfal beállítás
Hi! Lészen a következő felállás: Internet|tűzfal|---br10(eth1.10;tap10)---10.0.0.0 szegmens | |---br11(eth1.11;tap11)---192.168.1.0 szegmens Jelen pillanatban a 10.0.0.n szegmensbe működik a VPN, a másik még ezt követően kerül kialakításra. A tűzfalon volt egy ilyen üzenetem: FORWARD packet died: IN=br10 OUT=br10 PHYSIN=tap10 PHYSOUT=eth1.10 SRC=10.0.0.151 DST=10.0.0.4 LEN=60 TOS=0x00 PREC=0x00 TTL=128 ID=5360 PROTO=ICMP TYPE=8 CODE=0 ID=1024 SEQ=2048 Ezt "orvosoltam" imigyen: iptables -I FORWARD -i br10 -j ACCEPT Igazából aki VPN-en bejön annak ténylegesen mindent engedni akarok a belső hálóból, ezért is lett bridge, viszont kezdem elveszteni a fonalat és ugyan működik minden, viszont nem látom, mekkora "rést" ütök a fenti szabállyal a tűzfalon? Elárulná valaki, hogy ez így rendben van, vagy "kivágtam magam alatt a tűzfalat" és inkább máshogy kellene? Előre is köszönöm a segítséget! -- (O__-- //\ / Varosi Csokonai Konyvtar // ) | Tel.: 59/503-152 V__/_[EMAIL PROTECTED] \ [EMAIL PROTECTED] _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
