Il 3 gennaio 2016 17:14, Michele Salerno <mikysa...@gmail.com> ha scritto:

> ho messo 2 regole manualmente nel mio router (openwt):
> iptables -I FORWARD -i vpnbas -o br_lan -s 10.27.254.0/24 -d
> 10.27.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
> iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Michè non hai bisogno di specificare -i (linterfaccia di input) perchè
non ti interessa, sulla base di dove sta l'output avviene il forward,
puoi quindi lasciare solo -o. Hai creato le zone firewall per le
interfacce oppure queste non sono definite tramite uci ?

ad ogni modo basta che avii tcpdump sulla interfaccia dove ti aspetti
il forward e vedi questo funziona.

>> quando i pacchetti tornano dalla lan, al router, al server: il router
>> applica un masquerade (NAT) ?
>>
> hihihi...dovrebbe essere un:
> iptables -t nat -I POSTROUTING -o vpnbas -s 10.27.0.0/24 -j MASQUERADE
> .....giusto?

yes.

pare che il problema fosse il fatto che forwardavi su una rete i
pacchetti di un'altra rete verso un endpoint che non ha lo stesso
gateway del server e del router ? Se così fosse l'endpoint poi
instradava i pacchetti di una rete diversa verso il suo def gw e
questi, ovviamente, non tornavano più indietro.

Puoi fare tutto tramite luci, creando le firewall-zones nelle
interfacce e specificando poi, in firewall, le zone di forward from e
to e il NAT.
_______________________________________________
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless

Rispondere a