iptables-reject-withオプションを使用してGREトンネルからのトラフィックを許可する
システム:CentOS 7。
/etc/sysconfig/iptablesは次のようなものです:
...
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i gre1 -j ACCEPT # not working
-A OUTPUT -o gre1 -j ACCEPT # not working
-A INPUT -j REJECT --reject-with icmp-Host-prohibited
最後の行が存在する場合、GREトンネルは機能せず、ping /すべてが機能しません(ただし、tcpdumpはもう一方の端でpingパッケージをキャプチャします)。iptablesファイルの最後の行を削除すると、すべてが機能します。
Gre1からのすべてのトラフィックを許可するためにどの「コマンド」を指定する必要がありますが、iptablesはまだeth0にルールを適用していますか?
ありがとう。
Ah ..少しのテストでこのソリューションが確認されました。
-A INPUT -p gre -j ACCEPT
これを使用すると、すべてのgreパケットが許可されます。