我正在尝试进行与 shorewall FAQ 2a 类似的练习,但使用公共 IP 地址。我尝试通过 IPSEC 连接路由流量,但打开 shorewall 后,我会看到以下
Shorewall:FORWARD:REJECT:IN=eth1 OUT=eth1 MAC=52:54:00:90:e3:a9:00:25:90:ae:0a:c3:08:00 SRC=196.38.X.X DST=196.11.X.X LEN=60 TOS=0x10 PREC=0x00 TTL=63 ID=54294 DF PROTO=TCP SPT=50594 DPT=35101 WINDOW=27200 RES=0x00 SYN URGP=0
路由已启用,并且网络流量设置为在策略中接受 有任何想法如何解决这个问题吗?当海岸墙被禁用时,路由等是完美的。
编辑如下。我已经添加了配置。事实证明,如果我删除它,它会完美地工作all all REJECT info,因此可能是我没有定义正确的规则来匹配流量。
/etc/shorewall/规则
ACCEPT net:196.38.YY.XX vpn tcp 35101 ACCEPT net:196.38.YY.XX net:196.11.YY.XX tcp 35101
/etc/shorewall/隧道
ipsec net a.b.c.d
/etc/shorewall/政策
$FW all ACCEPT net all DROP info vpn all ACCEPT info all vpn ACCEPT info all all REJECT info
/etc/shorewall/区域
vpn ipv4
/etc/shorewall/hosts
vpn eth1:a.b.c.d ipsec
/etc/shorewall/接口
net eth1 detect tcpflags,nosmurfs,routeback
答案1
问题出在主机文件中。
- 需要为该条目指定路由返回。
- IP 地址/范围组合指定 ipsec 隧道后面的 IP 地址。在这种情况下,一切。
vpn eth1:0.0.0.0/0 ipsec,routeback