Firewall a tunele GRE

Kacper Jurak kacper w jurak.pl
Wto, 4 Lut 2003, 20:00:37 CET 

-----Original Message-----
From: Andrzej Szombierski <qq w kuku.eu.org>
Sent: Tue, Feb 04, 2003 at 07:42:55PM +0100
To: To Lista dla korzystających z Polerowanej Dystrybucji Linuksa
Subject: Re: Firewall a tunele GRE

# On Tue, 4 Feb 2003, Kacper Jurak wrote:
# 
# > Zestawiłem tunel GRE IPv4 pomiędzy dwoma Linuxami, na każdym firewall z
# > polityką INPUT i FORWARD ustawioną na DROP, no i ruch przez tunel nie
# > idzie. Po wyłączeniu na jednym firewalla zaczyna działać, a więc jest to
# > kwestia tego firewalla. Ustawienie na nim polityki FORWARD na ACCEPT nic
# > nie daje, dopiero dodatkowo ustawienie ACCEPT dla INPUT przepuszcza
# > pakiety, co jest dziwne bo chyba powinien działać już przy FORWARD
# > ACCEPT, dodałem więc ACCEPT dla INPUTA dla IPków konców tunelu ale to
# > samo, FORWARD dla zdalnej podsieci oczywiście jest ACCEPT :) Ja już nie
# > wiem co jest grane, może ktoś mnie oświeci jak ustawiać regułki dla
# > tunelu? :)
# 
# O ile dobrze zrozumiałem to jest komputer który jest przypięty do jakiejś 
# sieci lokalnej, która powinna mieć możliwość komunikacji przez tunel, tak?
# 
# W takim przypadku firewall musi przyjmować:
# 
# - na INPUT pakiety z drugiego końca tunelu (chodzi o adres "prawdziwy" 
#   czyli ten internetowy a nie ten przypisany do tunelu) przez interfejs 
#   przez który ma dostęp do internetu
# - na FORWARD pakiety z drugiego końca tunelu (adres "tunelowy") z interfejsu
#   tunelu
# - na FORWARD pakiety z sieci lokalnej
# 

No to jest router w jednej podsieci, spróbuje to narysować wg prośby :)



  _____  195.245.266.132   ppp0    192.168.9.1  _____
 |     |---------------------------------------|     |
  -----                                         -----

 Linux 1                                       Linux 2


  LAN 1                                         LAN 2
 192.168.8.0/24                                 192.168.0.0/24


Na Linuxie 1  jest firewall (ten nie przeszkadza)
Na Linuxie 2  jest firewall (ten puszcza dopiero jak dampolityke ACCEPT  dla INPUT i FORWARD)

Jak widzicie jest to łączka ppp na dwóch modemach Goramo, narazie mam zrobiony zwykły routing i 
podsieci się widzą, ale chciałbym żeby to był tunel bo  przepuszcza multicasty.

Mam nadzieję że ktoś coś skuma z tego rysunku ;]
				       
-- 

Pozdrawiam :]
Kacper

kacper w jurak.pl
http://www.jurak.pl/kacper
---------------
When Hell is full, the dead will walk the earth

Więcej informacji o liście dyskusyjnej pld-users-pl