Re: vtun+iptables

Provo a buttare li' un'ipotesi: non e' che hai qualche regola di DROP 
all'inizio della conf del firewall che matcha per qualche ragione tutto il 
traffico del tunnel (ma non l'icmp) per cui puoi pingare ma tcp/udp non 
vanno? Mi spiego meglio: visto che sulla macchina avrai anche delle 
ethernet, se hai fatto le cose molto bene puoi aver abilitato il passaggio 
del traffico su un determinato protocollo solo per quelle interfacce, e 
aver messo una regola di DROP dopo le regole specifiche per le eth in 
questione. Esempio:

iptables -A INPUT -i eth0 -p tcp -d $IP_ROSSO --dport 22 -j ACCEPT
iptables -A INPUT -j DROP
iptables -A INPUT -i tun0 -j ACCEPT

ovviamente in questo caso la connessione dal tunnel e' troncata dalla 
seconda regola. Ti consiglio quindi di ricontrollare bene la conf di 
iptables, o ancora meglio, metti le regole di ACCEPT sull'interfaccia di 
tunnel prima di tutto il resto. Altrimenti controlla il routing: non e' 
che per caso stai usando routing asimmetrico e quindi per un motivo o per 
l'altro qualche pacchetto in andata o in ritorno viene bloccato dal 
firewall?

Ok, ho buttato li' un paio di idee per il debugging della cosa, ammetto 
che sono tutto piuttosto idiote e che sicuramente avrai gia' fatto questi 
controlli, ma non mi viene in mente altro.

Giorgio.


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List