openv и маршруты
Aladdin 13 мая, 2010 - 20:53
есть openvpn-сервер и openvpn-клиент. работают. на клиенте вирт.машина (libvirtd), с нее пинги на vpn-сервер идут, с сервера на него - нет.
маршруты: Destination Gateway Genmask Flags Metric Ref Use Iface 188.187.159.254 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 192.168.20.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br1 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 br0 192.168.27.0 0.0.0.0 255.255.255.0 U 0 0 0 tap1 127.0.0.0 127.0.0.1 255.0.0.0 UG 0 0 0 lo 0.0.0.0 188.187.159.254 0.0.0.0 UG 4004 0 0 ppp0
libvirtd машины находится на br0 и br1.
tap1 - на другом конце vpn сервер.
iptables:
# Generated by iptables-save v1.4.7 on Thu May 13 20:46:58 2010 *nat :PREROUTING ACCEPT [3057:527295] :POSTROUTING ACCEPT [4292:288266] :OUTPUT ACCEPT [4315:291829] -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE -A POSTROUTING -s 192.168.20.0/24 -o ppp0 -j MASQUERADE -A POSTROUTING -s 192.168.21.0/24 -o ppp0 -j MASQUERADE -A POSTROUTING -s 192.168.27.0/24 -o ppp0 -j MASQUERADE -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE -A POSTROUTING -s 192.168.0.0/24 -o br0 -j MASQUERADE -A POSTROUTING -s 192.168.0.0/24 -o br1 -j MASQUERADE -A POSTROUTING -s 192.168.0.0/24 -o tap0 -j MASQUERADE -A POSTROUTING -s 192.168.0.0/24 -o tap1 -j MASQUERADE -A POSTROUTING -s 192.168.20.0/24 -o br0 -j MASQUERADE -A POSTROUTING -s 192.168.20.0/24 -o br1 -j MASQUERADE -A POSTROUTING -s 192.168.20.0/24 -o tap0 -j MASQUERADE -A POSTROUTING -s 192.168.20.0/24 -o tap1 -j MASQUERADE -A POSTROUTING -s 192.168.21.0/24 -o br0 -j MASQUERADE -A POSTROUTING -s 192.168.21.0/24 -o br1 -j MASQUERADE -A POSTROUTING -s 192.168.21.0/24 -o tap0 -j MASQUERADE -A POSTROUTING -s 192.168.21.0/24 -o tap1 -j MASQUERADE -A POSTROUTING -s 192.168.27.0/24 -o br0 -j MASQUERADE -A POSTROUTING -s 192.168.27.0/24 -o br1 -j MASQUERADE -A POSTROUTING -s 192.168.27.0/24 -o tap0 -j MASQUERADE -A POSTROUTING -s 192.168.27.0/24 -o tap1 -j MASQUERADE -A POSTROUTING -s 192.168.1.0/24 -o br0 -j MASQUERADE -A POSTROUTING -s 192.168.1.0/24 -o br1 -j MASQUERADE -A POSTROUTING -s 192.168.1.0/24 -o tap0 -j MASQUERADE -A POSTROUTING -s 192.168.1.0/24 -o tap1 -j MASQUERADE COMMIT # Completed on Thu May 13 20:46:58 2010 # Generated by iptables-save v1.4.7 on Thu May 13 20:46:58 2010 *mangle :PREROUTING ACCEPT [223330:138361640] :INPUT ACCEPT [221122:138101288] :FORWARD ACCEPT [257:34807] :OUTPUT ACCEPT [206269:86718218] :POSTROUTING ACCEPT [206628:86777422] COMMIT # Completed on Thu May 13 20:46:58 2010 # Generated by iptables-save v1.4.7 on Thu May 13 20:46:58 2010 *filter :INPUT DROP [855:272639] :FORWARD DROP [0:0] :OUTPUT ACCEPT [206269:86718218] -A INPUT -m state --state INVALID -j DROP -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -i tap0 -j ACCEPT -A INPUT -i tap1 -j ACCEPT -A INPUT -i br0 -j ACCEPT -A INPUT -i br1 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 8010 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 8020 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p tcp -m tcp --dport 8010 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p tcp -m tcp --dport 8020 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p tcp -m tcp --dport 8010 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p tcp -m tcp --dport 8020 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p tcp -m tcp --dport 8010 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p tcp -m tcp --dport 8020 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 8010 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 8020 -j ACCEPT -A INPUT -s 77.40.0.0/17 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -s 77.40.0.0/17 -p tcp -m tcp --dport 8010 -j ACCEPT -A INPUT -s 77.40.0.0/17 -p tcp -m tcp --dport 8020 -j ACCEPT -A INPUT -s 188.187.0.0/16 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -s 188.187.0.0/16 -p tcp -m tcp --dport 8010 -j ACCEPT -A INPUT -s 188.187.0.0/16 -p tcp -m tcp --dport 8020 -j ACCEPT -A INPUT -s 109.195.0.0/16 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -s 109.195.0.0/16 -p tcp -m tcp --dport 8010 -j ACCEPT -A INPUT -s 109.195.0.0/16 -p tcp -m tcp --dport 8020 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p udp -m udp --dport 53 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p udp -m udp --dport 5353 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p udp -m udp --dport 8118 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p udp -m udp --dport 3632 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 5353 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 8118 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 3632 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p udp -m udp --dport 53 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p udp -m udp --dport 5353 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p udp -m udp --dport 8118 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p udp -m udp --dport 3632 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p tcp -m tcp --dport 5353 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p tcp -m tcp --dport 8118 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p tcp -m tcp --dport 3632 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p udp -m udp --dport 53 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p udp -m udp --dport 5353 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p udp -m udp --dport 8118 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p udp -m udp --dport 3632 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p tcp -m tcp --dport 5353 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p tcp -m tcp --dport 8118 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p tcp -m tcp --dport 3632 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p udp -m udp --dport 53 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p udp -m udp --dport 5353 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p udp -m udp --dport 8118 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p udp -m udp --dport 3632 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p tcp -m tcp --dport 5353 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p tcp -m tcp --dport 8118 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p tcp -m tcp --dport 3632 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 53 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 5353 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 8118 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 3632 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 5353 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 8118 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 3632 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 631 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 111 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 369 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 2049 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 30000:65535 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p udp -m udp --dport 631 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p udp -m udp --dport 111 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p udp -m udp --dport 369 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p udp -m udp --dport 2049 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p udp -m udp --dport 30000:65535 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p tcp -m tcp --dport 631 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p tcp -m tcp --dport 111 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p tcp -m tcp --dport 369 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p tcp -m tcp --dport 2049 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p tcp -m tcp --dport 30000:65535 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p udp -m udp --dport 631 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p udp -m udp --dport 111 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p udp -m udp --dport 369 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p udp -m udp --dport 2049 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p udp -m udp --dport 30000:65535 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p tcp -m tcp --dport 631 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p tcp -m tcp --dport 111 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p tcp -m tcp --dport 369 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p tcp -m tcp --dport 2049 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p tcp -m tcp --dport 30000:65535 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p udp -m udp --dport 631 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p udp -m udp --dport 111 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p udp -m udp --dport 369 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p udp -m udp --dport 2049 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p udp -m udp --dport 30000:65535 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p tcp -m tcp --dport 631 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p tcp -m tcp --dport 111 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p tcp -m tcp --dport 369 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p tcp -m tcp --dport 2049 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p tcp -m tcp --dport 30000:65535 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p udp -m udp --dport 631 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p udp -m udp --dport 111 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p udp -m udp --dport 369 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p udp -m udp --dport 2049 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p udp -m udp --dport 30000:65535 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 631 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 111 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 369 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 2049 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 30000:65535 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 631 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 111 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 369 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 2049 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 30000:65535 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 902 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 8222 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 8333 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 139 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 445 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p tcp -m tcp --dport 902 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p tcp -m tcp --dport 8222 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p tcp -m tcp --dport 8333 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p tcp -m tcp --dport 139 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p tcp -m tcp --dport 445 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p tcp -m tcp --dport 902 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p tcp -m tcp --dport 8222 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p tcp -m tcp --dport 8333 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p tcp -m tcp --dport 139 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p tcp -m tcp --dport 445 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p tcp -m tcp --dport 902 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p tcp -m tcp --dport 8222 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p tcp -m tcp --dport 8333 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p tcp -m tcp --dport 139 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p tcp -m tcp --dport 445 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 902 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 8222 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 8333 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 139 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 445 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p udp -m udp --dport 137 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p udp -m udp --dport 138 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p udp -m udp --dport 139 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p udp -m udp --dport 631 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p udp -m udp --dport 5353 -j ACCEPT -A INPUT -s 192.168.0.0/24 -p udp -m udp --dport 137 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p udp -m udp --dport 137 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p udp -m udp --dport 138 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p udp -m udp --dport 139 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p udp -m udp --dport 631 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p udp -m udp --dport 5353 -j ACCEPT -A INPUT -s 192.168.20.0/24 -p udp -m udp --dport 137 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p udp -m udp --dport 137 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p udp -m udp --dport 138 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p udp -m udp --dport 139 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p udp -m udp --dport 631 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p udp -m udp --dport 5353 -j ACCEPT -A INPUT -s 192.168.21.0/24 -p udp -m udp --dport 137 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p udp -m udp --dport 137 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p udp -m udp --dport 138 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p udp -m udp --dport 139 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p udp -m udp --dport 631 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p udp -m udp --dport 5353 -j ACCEPT -A INPUT -s 192.168.27.0/24 -p udp -m udp --dport 137 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 137 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 138 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 139 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 631 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 5353 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 137 -j ACCEPT -A INPUT -i br0 -p udp -m udp --dport 67 -j ACCEPT -A INPUT -i br0 -p udp -m udp --dport 68 -j ACCEPT -A INPUT -i br1 -p udp -m udp --dport 67 -j ACCEPT -A INPUT -i br1 -p udp -m udp --dport 68 -j ACCEPT -A INPUT -i tap0 -p udp -m udp --dport 67 -j ACCEPT -A INPUT -i tap0 -p udp -m udp --dport 68 -j ACCEPT -A INPUT -i tap1 -p udp -m udp --dport 67 -j ACCEPT -A INPUT -i tap1 -p udp -m udp --dport 68 -j ACCEPT -A INPUT -i ppp0 -p tcp -m tcp --dport 113 -j ACCEPT -A INPUT -i ppp0 -p tcp -m tcp --dport 25291 -j ACCEPT -A INPUT -i ppp0 -p tcp -m tcp --dport 51413 -j ACCEPT -A INPUT -i ppp0 -p tcp -m tcp --dport 8010 -j ACCEPT -A INPUT -i ppp0 -p tcp -m tcp --dport 8020 -j ACCEPT -A INPUT -i ppp0 -p tcp -m tcp --dport 7777 -j ACCEPT -A INPUT -i ppp0 -p tcp -m tcp --dport 9001 -j ACCEPT -A INPUT -s 192.168.0.0/24 -i br0 -j LOG --log-prefix "dropped: " -A INPUT -s 192.168.20.0/24 -i br0 -j LOG --log-prefix "dropped: " -A INPUT -s 192.168.21.0/24 -i br0 -j LOG --log-prefix "dropped: " -A INPUT -s 192.168.27.0/24 -i br0 -j LOG --log-prefix "dropped: " -A INPUT -s 192.168.1.0/24 -i br0 -j LOG --log-prefix "dropped: " -A INPUT -s 192.168.0.0/24 -i br1 -j LOG --log-prefix "dropped: " -A INPUT -s 192.168.20.0/24 -i br1 -j LOG --log-prefix "dropped: " -A INPUT -s 192.168.21.0/24 -i br1 -j LOG --log-prefix "dropped: " -A INPUT -s 192.168.27.0/24 -i br1 -j LOG --log-prefix "dropped: " -A INPUT -s 192.168.1.0/24 -i br1 -j LOG --log-prefix "dropped: " -A INPUT -s 192.168.0.0/24 -i tap0 -j LOG --log-prefix "dropped: " -A INPUT -s 192.168.20.0/24 -i tap0 -j LOG --log-prefix "dropped: " -A INPUT -s 192.168.21.0/24 -i tap0 -j LOG --log-prefix "dropped: " -A INPUT -s 192.168.27.0/24 -i tap0 -j LOG --log-prefix "dropped: " -A INPUT -s 192.168.1.0/24 -i tap0 -j LOG --log-prefix "dropped: " -A INPUT -s 192.168.0.0/24 -i tap1 -j LOG --log-prefix "dropped: " -A INPUT -s 192.168.20.0/24 -i tap1 -j LOG --log-prefix "dropped: " -A INPUT -s 192.168.21.0/24 -i tap1 -j LOG --log-prefix "dropped: " -A INPUT -s 192.168.27.0/24 -i tap1 -j LOG --log-prefix "dropped: " -A INPUT -s 192.168.1.0/24 -i tap1 -j LOG --log-prefix "dropped: " -A FORWARD -m state --state INVALID -j DROP -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i br0 -j ACCEPT -A FORWARD -i br1 -j ACCEPT -A FORWARD -i tap0 -j ACCEPT -A FORWARD -i tap1 -j ACCEPT COMMIT # Completed on Thu May 13 20:46:58 2010
tcpdump -i tap1 (на клиенте) в процессе ping 192.168.1.85 (внутрь виртуалки, из которой в сторону сервера ping'и проходят)
20:52:18.842756 ARP, Request who-has 192.168.1.85 tell 192.168.27.1, length 28 20:52:19.842727 ARP, Request who-has 192.168.1.85 tell 192.168.27.1, length 28 20:52:20.842677 ARP, Request who-has 192.168.1.85 tell 192.168.27.1, length 28
маршруты на сервере: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.1.85 bogara.openvpn 255.255.255.255 UGH 0 0 0 tap0 192.168.0.0 * 255.255.255.0 U 0 0 0 eth0 192.168.27.0 * 255.255.255.0 U 0 0 0 tap0 loopback localhost 255.0.0.0 UG 0 0 0 lo default 192.168.0.1 0.0.0.0 UG 0 0 0 eth0
»
- Для комментирования войдите или зарегистрируйтесь
Ваш скрипт иптаблес так
Ваш скрипт иптаблес так длиннен и однообразен, что из-за его длинны я не смог прочитать его до конца :(, и где то к середине я уже перестал пономать, что вы хотели спросить .
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
а... ну да... вопрос хоть и
а... ну да... вопрос хоть и явствует, но не задан... :) как добиться, чтобы пинги пошли в обе стороны?
P.S.: Linux - это красная таблетка :-) Windows - синяя...
ну ладно... раз не читается,
ну ладно... раз не читается, то тогда может ferm-скрипт понятнее будет (на основе которого правила созданы):
# -*- shell-script -*- # # Ferm example script # # Firewall configuration for a router with a dynamic IP. # # Author: Max Kellermann <max@duempel.org> # @def $DEV_PRIVATE = (br0 br1 tap0 tap1); @def $DEV_WORLD = ppp0; @def $NET_PRIVATE = (192.168.0.0/24 192.168.20.0/24 192.168.21.0/24 192.168.27.0/24 192.168.1.0/24); @def $NET_BOGARA = 192.168.27.0/24; @def $NET_EXTERNAL = (77.40.0.0/17 188.187.0.0/16 109.195.0.0/16); @def $AVAHI_BKST = 224.0.0.251/32; table filter { chain INPUT { policy DROP; # connection tracking mod state state INVALID DROP; mod state state (ESTABLISHED RELATED) ACCEPT; # allow local connections interface (lo tap0 tap1 br0 br1) ACCEPT; # respond to ping proto icmp icmp-type echo-request ACCEPT; # allow SSH connections from the private network and from some # well-known internet hosts saddr ($NET_PRIVATE $NET_EXTERNAL) proto tcp dport (ssh 8010 8020) ACCEPT; # we provide DNS and SMTP services for the internal net #interface $DEV_PRIVATE saddr $NET_PRIVATE { saddr $NET_PRIVATE { proto (udp tcp) dport (domain mdns 8118 distcc) ACCEPT; proto tcp dport (21 22) ACCEPT; proto (tcp udp) dport (ipp sunrpc rpc2portmap nfs 30000:65535) ACCEPT; proto tcp dport (902 8222 8333 netbios-ssn microsoft-ds) ACCEPT; proto udp dport (137 138 139 631 5353 netbios-ns) ACCEPT; } interface $DEV_PRIVATE { proto udp dport (bootps bootpc) ACCEPT; } # some IRC servers want that interface $DEV_WORLD { proto tcp dport auth ACCEPT; proto tcp dport (25291 51413 8010 8020) ACCEPT; proto tcp dport 7777 ACCEPT; proto tcp dport 9001 ACCEPT; } # the rest is dropped by the above policy interface $DEV_PRIVATE saddr $NET_PRIVATE { LOG log-prefix 'dropped: '; } } # outgoing connections are not limited chain OUTPUT { policy ACCEPT; # LOG log-prefix 'out: '; } chain FORWARD { policy DROP; # connection tracking mod state state INVALID DROP; mod state state (ESTABLISHED RELATED) ACCEPT; # connections from the internal net to the internet or to other # internal nets are allowed interface $DEV_PRIVATE ACCEPT; # the rest is dropped by the above policy # LOG log-prefix 'fwd: '; } } table nat { chain POSTROUTING { # masquerade private IP addresses saddr $NET_PRIVATE outerface $DEV_WORLD MASQUERADE; saddr $NET_PRIVATE outerface $DEV_PRIVATE MASQUERADE; } }P.S.: Linux - это красная таблетка :-) Windows - синяя...