El 09/03/11 13:01, Demián Pazos escribió: > David: > > > Gracias por responder. Creo que, entre otras pruebas, verifiqué esto > que tipeás vos. Esta es la solución propuesta en el apartado "Bridge" > en openvpn.net <http://openvpn.net>. Voy a testearlo en un entorno de > prueba, y luego les escribo. > > Un saludo, > > > El 5 de marzo de 2011 17:26, david martinez <damars...@gmail.com > <mailto:damars...@gmail.com>> escribió: > > > En el default de init.d de openvpn tienes los siguiente: > > echo "1" >> /proc/sys/net/ipv4/ip_forward > iptables -v -A INPUT -i tap0 -j ACCEPT > iptables -v -A INPUT -i br0 -j ACCEPT > iptables -v -A FORWARD -i br0 -j ACCEPT > > Te puede enviar el /etc/init.d/openvpn que tengo implementado yo, > que incluyen 2 scripts que levantan y bajan el bridge. > > > > El 5 de marzo de 2011 21:09, Demián Pazos <demian...@gmail.com > <mailto:demian...@gmail.com>> escribió: > > Listeros de Debian: > > > Estoy montando un bridge para utilizar con OpenVPN. El > escenario es el siguiente: > > eth0: WAN > eth1: LAN > tap0: OpenVPN > br0 : bridge entre eth1 y tap0 > > La policy de la cadena FORWARD es DROP, y abro las conexiones > según se requiera. El caso es que, luego de realizar el > bridge, las reglas de FORWARD quedaron sin efecto. Intenté > cambiando las que tenían -i eth1 por -i br0 sin resultado. > También probé la opción -m physdev --physdev-in eth1 para > establecer la NIC física, pero los paquetes siguen sin pasar > por la cadena. Lo único que tengo activado es > /proc/sys/net/ipv4/ip_forward en 1. En la info iptables, veo > los paquetes entrando, pero la policy DROP los filtra. > ¿Alguien tiene experiencia con bridges en estos casos? Debian > 5 con kernel 2.6 > > Muchas gracias a todos, > > -- > Demian > > > > > > -- > Demian
"En la info iptables, veo los paquetes entrando, pero la policy DROP los filtra." ¿A que te refieres con esto exactamente? La regla que escribes para permitir el tráfico ¿Crecen sus contadores "iptables -vnL FORWARD"? Añade una regla sencilla por ejemplo para el icmp y comprueba si hay coincidencias viendo si el contador crece o bien añadiendo una regla igual pero que salte a LOG. Por ejemplo iptables -P FORWARD DROP iptables -I FORWARD -p icmp -i br0 -m physdev --physdev-in eth1 -j ACCEPT Haces un ping y comprueba con iptables -vnL FORWARD que hay pkts y bytes o iptables -I FORWARD -p -p icmp -i br0 -m physdev --physdev-in eth1 -j LOG --log-prefix 'basura ' y mira en el syslog si escribe algo.
