[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Bridge e iptables



El 09/03/11 13:01, Demián Pazos escribió:
David:


Gracias por responder. Creo que, entre otras pruebas, verifiqué esto que tipeás vos. Esta es la solución propuesta en el apartado "Bridge" en openvpn.net. Voy a testearlo en un entorno de prueba, y luego les escribo.

Un saludo,


El 5 de marzo de 2011 17:26, david martinez <damarsan2@gmail.com> escribió:

En el default de init.d de openvpn tienes los siguiente:

echo "1" >> /proc/sys/net/ipv4/ip_forward
iptables -v -A INPUT -i tap0 -j ACCEPT
iptables -v -A INPUT -i br0 -j ACCEPT
iptables -v -A FORWARD -i br0 -j ACCEPT

Te puede enviar el /etc/init.d/openvpn que tengo implementado yo, que incluyen 2 scripts que levantan y bajan el bridge.



El 5 de marzo de 2011 21:09, Demián Pazos <demianpaz@gmail.com> escribió:

Listeros de Debian:


Estoy montando un bridge para utilizar con OpenVPN. El escenario es el siguiente:

eth0: WAN
eth1: LAN
tap0: OpenVPN
br0  : bridge entre eth1 y tap0

La policy de la cadena FORWARD es DROP, y abro las conexiones según se requiera. El caso es que, luego de realizar el bridge, las reglas de FORWARD quedaron sin efecto. Intenté cambiando las que tenían -i eth1 por -i br0 sin resultado. También probé la opción -m physdev --physdev-in eth1 para establecer la NIC física, pero los paquetes siguen sin pasar por la cadena. Lo único que tengo activado es /proc/sys/net/ipv4/ip_forward en 1. En la info iptables, veo los paquetes entrando, pero la policy DROP los filtra. ¿Alguien tiene experiencia con bridges en estos casos? Debian 5 con kernel 2.6

Muchas gracias a todos,

--
           Demian




--
           Demian

"En la info iptables, veo los paquetes entrando, pero la policy DROP los filtra." ¿A que te refieres con esto exactamente? La regla que escribes para permitir el tráfico ¿Crecen sus contadores "iptables -vnL FORWARD"? Añade una regla sencilla por ejemplo para el icmp y comprueba si hay coincidencias viendo si el contador crece o bien añadiendo una regla igual pero que salte a LOG. Por ejemplo

iptables -P FORWARD DROP
iptables -I FORWARD -p icmp -i br0 -m physdev --physdev-in eth1 -j ACCEPT

Haces un ping y comprueba con iptables -vnL FORWARD que hay pkts y bytes

o

iptables -I FORWARD -p -p icmp -i br0 -m physdev --physdev-in eth1 -j LOG --log-prefix 'basura '

y mira en el syslog si escribe algo.





Reply to: