Firewall a tunele GRE

[Andrzej Szombierski]

On Tue, 4 Feb 2003, Kacper Jurak wrote:

> Zestawiłem tunel GRE IPv4 pomiędzy dwoma Linuxami, na każdym firewall z
> polityką INPUT i FORWARD ustawioną na DROP, no i ruch przez tunel nie
> idzie. Po wyłączeniu na jednym firewalla zaczyna działać, a więc jest to
> kwestia tego firewalla. Ustawienie na nim polityki FORWARD na ACCEPT nic
> nie daje, dopiero dodatkowo ustawienie ACCEPT dla INPUT przepuszcza
> pakiety, co jest dziwne bo chyba powinien działać już przy FORWARD
> ACCEPT, dodałem więc ACCEPT dla INPUTA dla IPków konców tunelu ale to
> samo, FORWARD dla zdalnej podsieci oczywiście jest ACCEPT :) Ja już nie
> wiem co jest grane, może ktoś mnie oświeci jak ustawiać regułki dla
> tunelu? :)

O ile dobrze zrozumiałem to jest komputer który jest przypięty do jakiejś 
sieci lokalnej, która powinna mieć możliwość komunikacji przez tunel, tak?

W takim przypadku firewall musi przyjmować:

- na INPUT pakiety z drugiego końca tunelu (chodzi o adres "prawdziwy" 
  czyli ten internetowy a nie ten przypisany do tunelu) przez interfejs 
  przez który ma dostęp do internetu
- na FORWARD pakiety z drugiego końca tunelu (adres "tunelowy") z interfejsu
  tunelu
- na FORWARD pakiety z sieci lokalnej


-- 
: Andrzej Szombierski : anszom w v-lo.krakow.pl : qq w kuku.eu.org :
: anszom w bezkitu.com ::: radio bez kitu <=> http://bezkitu.com :