El 09/03/11 13:01, Demián Pazos escribió:
David:
Gracias por responder. Creo que, entre otras pruebas, verifiqué
esto que tipeás vos. Esta es la solución propuesta en el apartado
"Bridge" en openvpn.net.
Voy a testearlo en un entorno de prueba, y luego les escribo.
Un saludo,
El 5 de marzo de 2011 17:26, david
martinez <damarsan2@gmail.com>
escribió:
En el default de init.d de openvpn tienes los siguiente:
echo "1" >> /proc/sys/net/ipv4/ip_forward
iptables -v -A INPUT -i tap0 -j ACCEPT
iptables -v -A INPUT -i br0 -j ACCEPT
iptables -v -A FORWARD -i br0 -j ACCEPT
Te puede enviar el /etc/init.d/openvpn que tengo
implementado yo, que incluyen 2 scripts que levantan y
bajan el bridge.
El 5 de marzo de 2011 21:09, Demián
Pazos <demianpaz@gmail.com>
escribió:
Listeros de Debian:
Estoy montando un bridge para utilizar con OpenVPN.
El escenario es el siguiente:
eth0: WAN
eth1: LAN
tap0: OpenVPN
br0 : bridge entre eth1 y tap0
La policy de la cadena FORWARD es DROP, y abro las
conexiones según se requiera. El caso es que, luego
de realizar el bridge, las reglas de FORWARD
quedaron sin efecto. Intenté cambiando las que
tenían -i eth1 por -i br0 sin resultado. También
probé la opción -m physdev --physdev-in eth1 para
establecer la NIC física, pero los paquetes siguen
sin pasar por la cadena. Lo único que tengo activado
es /proc/sys/net/ipv4/ip_forward en 1. En la info
iptables, veo los paquetes entrando, pero la policy
DROP los filtra. ¿Alguien tiene experiencia con
bridges en estos casos? Debian 5 con kernel 2.6
Muchas gracias a todos,
--
Demian
--
Demian
"En la info iptables, veo los paquetes entrando, pero la policy DROP
los filtra." ¿A que te refieres con esto exactamente? La regla que
escribes para permitir el tráfico ¿Crecen sus contadores "iptables
-vnL FORWARD"? Añade una regla sencilla por ejemplo para el icmp y
comprueba si hay coincidencias viendo si el contador crece o bien
añadiendo una regla igual pero que salte a LOG. Por ejemplo
iptables -P FORWARD DROP
iptables -I FORWARD -p icmp -i br0 -m physdev --physdev-in eth1 -j
ACCEPT
Haces un ping y comprueba con iptables -vnL FORWARD que hay pkts y
bytes
o
iptables -I FORWARD -p -p icmp -i br0 -m physdev --physdev-in eth1
-j LOG --log-prefix 'basura '
y mira en el syslog si escribe algo.
|