FreeSwan + IPTables

[Michal Kubecek]

On Tue, Jul 06, 2004 at 03:16:51PM +0200, Marcel Mazáč wrote:
 
> $IPTABLES -t nat -A POSTROUTING -o $LAN0_IFACE -j SNAT --to $LAN0_IP

Tohle se mi moc nelíbí, nejsem si jistý, jak se zachová NAT, pokud paket
bude mít správnou zdrojovou adresu, raději bych explicitně natoval jen
pakety se zdrojovou adresou vnitřních sítí.

> $IPTABLES -A FORWARD -s 192.168.4.0/24 -d 192.168.3.0/24 -j ACCEPT

To ale povolujete jen jeden směr, měl byste povolit oba. A pro jistotu
bych doporučil explicitně zkontrolovat rozhraní (na jedné straně ipsec0).

> $IPTABLES -A OUTPUT -s $LO_IP -j ACCEPT
> $IPTABLES -A OUTPUT -s $LAN3_IP -j ACCEPT
> $IPTABLES -A OUTPUT -s $LAN2_IP -j ACCEPT
> $IPTABLES -A OUTPUT -s $LAN1_IP -j ACCEPT
> $IPTABLES -A OUTPUT -s $LAN0_IP -j ACCEPT
> $IPTABLES -A OUTPUT -j LOG --log-prefix "Output drop: "
> # VPN
> $IPTABLES -A OUTPUT -p UDP --sport 500 --dport 500 -j ACCEPT
> $IPTABLES -A OUTPUT -p 50 -j ACCEPT
> $IPTABLES -A OUTPUT -p 51 -j ACCEPT
> # END VPN

Filtrování podle zdrojové IP adresy v řetězci OUTPUT také není nejlepší
nápad, moc bych nesázel na to, že to bude fungovat.

Ještě by bylo dobré napsat, co přesně jste zkoušel a jak to dopadlo.

                                                         Michal Kubeček