В настройках firewall - нет возможности указывать другие протоколы gre (47) и т.п.
Дополнительные порты указываются в поле внизу списка.
GRE - не порт, а протокол из стека IP, номер протокола 47 так же как TCP - №6 или UDP - №17 Только у него портов нет. Используется для образования VPN туннелей Поэтому его указание в разделе портов - ничего не даст! приходится ручками - # iptables -A INPUT -p gre -j ACCEPT Прошу изменить статус issue. Одной из причин перехода на линукс роутер - и есть невозможность пробросить туннель через NAT обычного бытового роутера.
В итоге нужен дополнительная галочка - с названием VPN, открывающая 1723 порт и плюс еще протокол GRE
И еще, забыл: Точно такая же галочка нужна в разделе перенаправление портов, на случай если VPN сервер находится не на роутере, а за ним в сети!
Воспользуйтесь модулем ручной настройки брандмауэра. Патчи приветствуются.
Полноценно сделать поддержку всяких таких протоколов - это целое дело, в том числе с точки зрения интерфейса... Мне это, пожалуй, интересно, но ничего обещать я не хочу. Сделать галочки "VPN", открывающие gre и tcp:1723 (если я правильно понял) в модулях "внутренние/внешние сети" - это проще. Поглядите вот этот пакет - если все работает, я выложу его в Сизиф: http://git.altlinux.org/tasks/38068/build/100/i586/rpms/alterator-net-iptables-4.18-alt1.noarch.rpm Что бы сделать с перенаправлением портов, я еще подумаю...
Спасибо! Пакет посмотрю в среду, тестовый сервак только соберу! # Что бы сделать с перенаправлением портов, я еще подумаю... Ну собственно просто вместо одной галочки - поставить две, взаимоисключающиеся: VPN - GRE+TCP:1723 и просто GRE_Enable - GRE В случае выбора последней - пользователь вручную, перенаправлением портов прокинет 1723 на нужный сервак в сети!
Ну или дополняющие друг друга VPN - TCP:1723 и GRE... Это как раз совсем просто - должить лишний файл в /etc/alterator/net-iptables/ Но, кажется, проблема в том, что для перенаправления еще захочется записать gre в filter/FORWARD, а этого никто не сделает...
> в filter/FORWARD, а этого никто не сделает... да, мой косяк, пропустил этот момент. А надо ли это конкретно для gre? я не совсем точно представляю себе как работает gre, он широковещательный или адресный? а то циски умеют - TCP:1723 на одном интерфейсе а VPN канал на другом, да и не на одном!
А не знаю... У меня вся эта деятельность в глубоком пассиве уже давно. А с этим самым gre я вообще никогда не сталкивался... Так что если будет кто-то понимать, что происходит и какая должна быть общая картина, и тестировать - я могу что-то пробовать потихоньку менять.
alterator-net-iptables-4.18-alt2 -> sisyphus: * Tue Apr 19 2011 Vladislav Zavjalov <slazav@altlinux> 4.18-alt2 - cups.desktop: add udp:631 (closes: 25467) * Sun Feb 06 2011 Vladislav Zavjalov <slazav@altlinux> 4.18-alt1 - allow any protocol names in service lists - vpn.desktop: gre:;tcp:1723 (closes: 25036)
В общем, я выложил изменение, которое предлагал тестировать в #6 (оно не слишком тривиальное). Надеюсь, что его-таки тестировали :)
