O gateway Linux não encaminha os pacotes

Navegue suas respostas
2

Eu tenho uma caixa Smoothwall configurada como meu gateway principal em 192.168.65.1. Eu também tenho um Proxmox servidor virtual em 192.168.65.160 que eu uso para fazer conexões VPN de saída. Como a caixa Smoothwall é o gateway padrão, quero configurá-la para rotear todo o tráfego de rede local 192.168.65.0/24 destinado a destinos VPN (como a sub-rede 192.168.1.0/24) para o endereço 192.168.65.160.

O Smoothwall é configurado com / proc / sys / net / ipv4 / ip_forward definido como 1. A tabela de roteamento é definida da seguinte maneira (eth0 = interface RED): 

$ ip route
192.168.65.0/24 dev eth1  proto kernel  scope link  src 192.168.65.1 
192.168.1.0/24 via 192.168.65.160 dev eth1 
x.x.x.x/xx dev eth0  proto kernel  scope link  src x.x.x.x 
default via x.x.x.x dev eth0

Se eu pingar um endereço VPN da caixa Smoothwall, ele funcionará. No entanto, quando tento pingar um endereço VPN de qualquer outro host na sub-rede 192.168.65.0/24 local, recebo Resultado "Destination Port Unreachable". Se eu definir uma rota no host local para enviar VPN tráfego diretamente para o gateway 192.168.65.160, que funciona. É só quando Eu tento rotear o tráfego VPN através da caixa Smoothwall que ele não consegue passar.

O que está acontecendo?

    
por Brian Showalter 15.11.2010 / 14:29

3 respostas

2

ok, vamos começar cobrindo apenas o básico ... parece que o smoothwall pode ser o problema aqui ...

digite o seguinte no console do seu smoothwall e veja se isso resolve o problema: 

iptables -I FORWARD 1 -s 192.168.65.0/24 -i eth1 -d 192.168.1.0/24 -j ACCEPT

por favor note que esta é uma correção temporária para testar se o problema é com o smoothwall. se isso funcionar, basta adicionar uma regra no smoothwall para permitir esse tráfego ou adicionar essa linha a algo como rc.local (provavelmente não é a melhor ideia ... :))

    
por 16.11.2010 / 04:43
2

Você precisa configurar o SNAT para que a configuração funcione. 

iptables -t nat -I POSTROUTING -o eth1 -d 192.168.1.0/24 -j SNAT --to-source 192.168.65.1

O que está acontecendo agora é que o tráfego de sua lan chega ao firewall e é enviado ao servidor promox que o envia para o destino quando o outro lado responde ao servidor promox e o envia ao host lan real quando é enviado o pacote inicial, mas esse host o rejeita porque espera a resposta da caixa de parede lisa

    
por 15.11.2010 / 16:40
0

Parece que sua configuração deve funcionar. Eu não acho que NAT é o que você precisa aqui.

Apenas um pensamento: é possível que o Smoothwall se recuse a encaminhar pacotes que tentam sair dele através da mesma interface de rede da qual eles entraram (neste caso, eth1)? Esse tráfego pode ser considerado anormal ou suspeito sob circunstâncias típicas, e o Smoothwall pode ser configurado para bloqueá-lo por esses motivos. Receber mensagens de "Destination Port Unreachable" do ping indica que você está recebendo mensagens de erro ICMP, que eu suspeito que estão sendo geradas pelo Smoothwall, já que ele rejeita esses pacotes.

O Smoothwall fornece recursos de registro? Se assim for, você deve verificar os registros para ver se a minha teoria contém água.

    
por 15.11.2010 / 19:06

Tags

Como posso acessar um servidor interno usando um caminho dns? Como adicionar um servidor virtual exportado (ovf) do ESX 3.5 e importá-lo para o ESX 4.1 com o vCentre?