web-dev-qa-db-ja.com

iptables-reject-withオプションを使用してGREトンネルからのトラフィックを許可する

システム:CentOS 7。

/etc/sysconfig/iptablesは次のようなものです:

...
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i gre1 -j ACCEPT # not working
-A OUTPUT -o gre1 -j ACCEPT # not working
-A INPUT -j REJECT --reject-with icmp-Host-prohibited

最後の行が存在する場合、GREトンネルは機能せず、ping /すべてが機能しません(ただし、tcpdumpはもう一方の端でpingパッケージをキャプチャします)。iptablesファイルの最後の行を削除すると、すべてが機能します。

Gre1からのすべてのトラフィックを許可するためにどの「コマンド」を指定する必要がありますが、iptablesはまだeth0にルールを適用していますか?

ありがとう。

2
hlx98007

Ah ..少しのテストでこのソリューションが確認されました。

-A INPUT -p gre -j ACCEPT

これを使用すると、すべてのgreパケットが許可されます。

6
hlx98007