Il 3 gennaio 2016 17:14, Michele Salerno <mikysa...@gmail.com> ha scritto:
> ho messo 2 regole manualmente nel mio router (openwt): > iptables -I FORWARD -i vpnbas -o br_lan -s 10.27.254.0/24 -d > 10.27.0.0/24 -m conntrack --ctstate NEW -j ACCEPT > iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT Michè non hai bisogno di specificare -i (linterfaccia di input) perchè non ti interessa, sulla base di dove sta l'output avviene il forward, puoi quindi lasciare solo -o. Hai creato le zone firewall per le interfacce oppure queste non sono definite tramite uci ? ad ogni modo basta che avii tcpdump sulla interfaccia dove ti aspetti il forward e vedi questo funziona. >> quando i pacchetti tornano dalla lan, al router, al server: il router >> applica un masquerade (NAT) ? >> > hihihi...dovrebbe essere un: > iptables -t nat -I POSTROUTING -o vpnbas -s 10.27.0.0/24 -j MASQUERADE > .....giusto? yes. pare che il problema fosse il fatto che forwardavi su una rete i pacchetti di un'altra rete verso un endpoint che non ha lo stesso gateway del server e del router ? Se così fosse l'endpoint poi instradava i pacchetti di una rete diversa verso il suo def gw e questi, ovviamente, non tornavano più indietro. Puoi fare tutto tramite luci, creando le firewall-zones nelle interfacce e specificando poi, in firewall, le zone di forward from e to e il NAT. _______________________________________________ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
