Summary: | irewall и gre (47) и т.п. | ||
---|---|---|---|
Product: | Sisyphus | Reporter: | Andrey Prokopyev <andrey> |
Component: | alterator-net-iptables | Assignee: | Mikhail Efremov <sem> |
Status: | CLOSED FIXED | QA Contact: | qa-sisyphus |
Severity: | normal | ||
Priority: | P3 | CC: | radik, sem |
Version: | unstable | ||
Hardware: | all | ||
OS: | Linux |
Description
Andrey Prokopyev
2011-02-06 06:42:14 MSK
Дополнительные порты указываются в поле внизу списка. GRE - не порт, а протокол из стека IP, номер протокола 47 так же как TCP - №6 или UDP - №17 Только у него портов нет. Используется для образования VPN туннелей Поэтому его указание в разделе портов - ничего не даст! приходится ручками - # iptables -A INPUT -p gre -j ACCEPT Прошу изменить статус issue. Одной из причин перехода на линукс роутер - и есть невозможность пробросить туннель через NAT обычного бытового роутера. В итоге нужен дополнительная галочка - с названием VPN, открывающая 1723 порт и плюс еще протокол GRE И еще, забыл: Точно такая же галочка нужна в разделе перенаправление портов, на случай если VPN сервер находится не на роутере, а за ним в сети! Воспользуйтесь модулем ручной настройки брандмауэра. Патчи приветствуются. Полноценно сделать поддержку всяких таких протоколов - это целое дело, в том числе с точки зрения интерфейса... Мне это, пожалуй, интересно, но ничего обещать я не хочу. Сделать галочки "VPN", открывающие gre и tcp:1723 (если я правильно понял) в модулях "внутренние/внешние сети" - это проще. Поглядите вот этот пакет - если все работает, я выложу его в Сизиф: http://git.altlinux.org/tasks/38068/build/100/i586/rpms/alterator-net-iptables-4.18-alt1.noarch.rpm Что бы сделать с перенаправлением портов, я еще подумаю... Спасибо! Пакет посмотрю в среду, тестовый сервак только соберу! # Что бы сделать с перенаправлением портов, я еще подумаю... Ну собственно просто вместо одной галочки - поставить две, взаимоисключающиеся: VPN - GRE+TCP:1723 и просто GRE_Enable - GRE В случае выбора последней - пользователь вручную, перенаправлением портов прокинет 1723 на нужный сервак в сети! Ну или дополняющие друг друга VPN - TCP:1723 и GRE... Это как раз совсем просто - должить лишний файл в /etc/alterator/net-iptables/ Но, кажется, проблема в том, что для перенаправления еще захочется записать gre в filter/FORWARD, а этого никто не сделает... > в filter/FORWARD, а этого никто не сделает...
да, мой косяк, пропустил этот момент.
А надо ли это конкретно для gre?
я не совсем точно представляю себе как работает gre, он широковещательный или адресный?
а то циски умеют - TCP:1723 на одном интерфейсе а VPN канал на другом, да и не на одном!
А не знаю... У меня вся эта деятельность в глубоком пассиве уже давно. А с этим самым gre я вообще никогда не сталкивался... Так что если будет кто-то понимать, что происходит и какая должна быть общая картина, и тестировать - я могу что-то пробовать потихоньку менять. alterator-net-iptables-4.18-alt2 -> sisyphus: * Tue Apr 19 2011 Vladislav Zavjalov <slazav@altlinux> 4.18-alt2 - cups.desktop: add udp:631 (closes: 25467) * Sun Feb 06 2011 Vladislav Zavjalov <slazav@altlinux> 4.18-alt1 - allow any protocol names in service lists - vpn.desktop: gre:;tcp:1723 (closes: 25036) В общем, я выложил изменение, которое предлагал тестировать в #6 (оно не слишком тривиальное). Надеюсь, что его-таки тестировали :) |