ninguém navega :( [RESOLVIDO]

irado
(usa XUbuntu)

Enviado em 14/11/2008 - 08:48h

estabeleci aqui um fwll/gw em iptables. Tudo muito bom - inclusive o acesso via OpenVNP. Contudo -e aí é que o bicho pega - a conexão matriz/filial via OpenVPN vai bem, só que o pessoal NÃO NAVEGA :(

PARTE das minhas regras - as que (IMHO) importam - estão aqui:

$IPT -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -j ACCEPT
$IPT -t nat -A POSTROUTING -o $NIC_EXTERNA -j MASQUERADE

o que dá pra se entender, via relatório (abaixo) é que a solicitação VAI pra 'net, mas a eventual resposta não está sendo aceita:
Nov 14 08:40:00 srv4 kernel: ** FORWARD **IN=eth1 OUT=eth0 SRC=128.1.14.9 DST=200.169.88.1 LEN=63 TOS=0x00 PREC=0x00 TTL=127 ID=1398 PROTO=UDP SPT=1032 DPT=53 LEN=43
Nov 14 08:40:01 srv4 kernel: ** FORWARD **IN=eth1 OUT=eth0 SRC=128.1.14.17 DST=216.52.184.243 LEN=775 TOS=0x00 PREC=0x00 TTL=127 ID=2226 PROTO=ICMP TYPE=8 CODE=0 ID=768 SEQ=19459
[.. prossegue..]

bem.. :( eu estou aqui, travado. Alguma sugestão?

notar (de novo): a conexão matriz-filial, via OpenVPN funciona muito bem mas - veja pela regra - NÃO É masquerade'd aqui, pq o OpenVPN cuida disso.

grato,

clovesjr
(usa Slackware)

Enviado em 14/11/2008 - 11:29h

Olha só... pode ser outras coisas mas dá uma olhada no seguinte:

1) Como está a política padrão da chain OUTPUT? Se estiver "DROP", você não está permitindo a saída de novas conexões.

2) O que está sendo bloqueado é o protocolo UDP e ICMP. Estes dois protocolos não possuem controle de estado da conexão, portanto não aceitos nas regras acima e são bloqueados. Você terá que adicionar regras específicas para estes protocolos.

[]s

Cloves Jr

irado
(usa XUbuntu)

Enviado em 14/11/2008 - 12:03h

a) o pacote VAI para a 'net, portanto está saindo..

b) a politica padrão sendo DROP refere-se a ESTA MÁQUINA (o próprio gateway), ou seja, ESTA MAQUINA não pode mandar nada DELA (gerado nela mesma) para fora, portanto NÃO INTERFERE com os pacotes de rede, aliás, como já visto os pacotes saem pra net e TAMBÉM pelo tunel VPN sem problemas, só que os do tunel voltam regularmente. Esta é uma recomendação básica na especificação de regras.

c) para os pacotes da rede para internet, o que funciona são as regras forward. INPUT/OUTPUT não interferem.

a curiosidade que notei (avaliando com o tcpdump) e que TALVEZ realmente importe: os pacotes, mesmo que direcionados para (por exemplo) www.vivaolinux.com.br saem pelo tunel e NÃO para a 'net diretamente; chegando na matriz, são descartados (óbvio) uma vez que só pacotes LAN/LAN são manipulados. Examinei a tabela de rotas e tudo está correto, gw 10.0.01 para LAN-MATRIZ, ou seja, não é falta de rota.