Juan:
Aclaro la situación, a ver si pueden ayudarme a resolver el acertijo.
Tengo un bridge entre eth2 y eth1. La red del bridge es 10.0.0.0/24. La red
de eth0, que actuaría de WAN, es 192.168.0.0/24 -es un ambiente de prueba-
El equipo de prueba está conectado al router través de la nic eth2. Con la
policy ACCEPT en FORWARD y haciendo SNAT entre la red 10 y la 192, todo
funciona según lo esperado. Si cambio la política a DROP en FORWARD, las
conexiones no se resuelven, como es de esperarse también.
Ahora viene el inconveniente: con la policy DROP en FORWARD, habilito
solamente lo que quiero dejar pasar, por ej. ICMP desde la red 10. Lo
habilité de las siguiente manera:
iptables -A FORWARD -m physdev --physdev-in eth2 -p icmp -j ACCEPT
Utilicé la opción -m con physdev porque, según estuve leyendo, esta es la
forma correcta de manejar las conexiones con un bridge actuando en el
escenario.
En la tabla de iptables veo los paquetes, el contador avanza, pero no hay
respuesta de ping. Solo habilité, en ../ipv4/ el bit en ip_forward. Espero
que haya quedado claro ahora. Y gracias por responder.
Un saludo a la comunidad,
El 9 de marzo de 2011 09:21, Juan Antonio <push...@limbo.ari.es> escribió:
> El 09/03/11 13:01, Demián Pazos escribió:
>
> David:
>
>
> Gracias por responder. Creo que, entre otras pruebas, verifiqué esto que
> tipeás vos. Esta es la solución propuesta en el apartado "Bridge" en
> openvpn.net. Voy a testearlo en un entorno de prueba, y luego les escribo.
>
> Un saludo,
>
>
> El 5 de marzo de 2011 17:26, david martinez <damars...@gmail.com>escribió:
>
>>
>> En el default de init.d de openvpn tienes los siguiente:
>>
>> echo "1" >> /proc/sys/net/ipv4/ip_forward
>> iptables -v -A INPUT -i tap0 -j ACCEPT
>> iptables -v -A INPUT -i br0 -j ACCEPT
>> iptables -v -A FORWARD -i br0 -j ACCEPT
>>
>> Te puede enviar el /etc/init.d/openvpn que tengo implementado yo, que
>> incluyen 2 scripts que levantan y bajan el bridge.
>>
>>
>>
>> El 5 de marzo de 2011 21:09, Demián Pazos <demian...@gmail.com> escribió:
>>
>>
>> Listeros de Debian:
>>>
>>>
>>> Estoy montando un bridge para utilizar con OpenVPN. El escenario es el
>>> siguiente:
>>>
>>> eth0: WAN
>>> eth1: LAN
>>> tap0: OpenVPN
>>> br0 : bridge entre eth1 y tap0
>>>
>>> La policy de la cadena FORWARD es DROP, y abro las conexiones según se
>>> requiera. El caso es que, luego de realizar el bridge, las reglas de FORWARD
>>> quedaron sin efecto. Intenté cambiando las que tenían -i eth1 por -i br0 sin
>>> resultado. También probé la opción -m physdev --physdev-in eth1 para
>>> establecer la NIC física, pero los paquetes siguen sin pasar por la cadena.
>>> Lo único que tengo activado es /proc/sys/net/ipv4/ip_forward en 1. En la
>>> info iptables, veo los paquetes entrando, pero la policy DROP los filtra.
>>> ¿Alguien tiene experiencia con bridges en estos casos? Debian 5 con kernel
>>> 2.6
>>>
>>> Muchas gracias a todos,
>>>
>>> --
>>> Demian
>>>
>>
>>
>
>
> --
> Demian
>
>
> "En la info iptables, veo los paquetes entrando, pero la policy DROP los
> filtra." ¿A que te refieres con esto exactamente? La regla que escribes para
> permitir el tráfico ¿Crecen sus contadores "iptables -vnL FORWARD"? Añade
> una regla sencilla por ejemplo para el icmp y comprueba si hay coincidencias
> viendo si el contador crece o bien añadiendo una regla igual pero que salte
> a LOG. Por ejemplo
>
> iptables -P FORWARD DROP
> iptables -I FORWARD -p icmp -i br0 -m physdev --physdev-in eth1 -j ACCEPT
>
> Haces un ping y comprueba con iptables -vnL FORWARD que hay pkts y bytes
>
> o
>
> iptables -I FORWARD -p -p icmp -i br0 -m physdev --physdev-in eth1 -j LOG
> --log-prefix 'basura '
>
> y mira en el syslog si escribe algo.
>
>
>
>
>
--
Demian
