海岸壁FAQ 2aと同様の練習をしようとしていますが、パブリックIPアドレスを使用しています。 IPSEC接続を介してトラフィックをルーティングしようとしましたが、沿岸壁を開いた後に次のメッセージが表示されます。
Shorewall:FORWARD:REJECT:IN=eth1 OUT=eth1 MAC=52:54:00:90:e3:a9:00:25:90:ae:0a:c3:08:00 SRC=196.38.X.X DST=196.11.X.X LEN=60 TOS=0x10 PREC=0x00 TTL=63 ID=54294 DF PROTO=TCP SPT=50594 DPT=35101 WINDOW=27200 RES=0x00 SYN URGP=0
ルーティングが有効になり、ネットワークトラフィックがポリシーで許可されるように設定されました。この問題を解決する方法についてのアイデアはありますか?沿岸壁が無効になると、ルーティングなどは完璧です。
以下に編集されました。設定を追加しました。これを削除すると完全に機能するため、トラフィックと一致するようにall all REJECT info定義された正しい規則がない可能性があります。
/etc/shorewall/ルール
ACCEPT net:196.38.YY.XX vpn tcp 35101
ACCEPT net:196.38.YY.XX net:196.11.YY.XX tcp 35101
/etc/shorewall/tunnel
ipsec net a.b.c.d
/etc/shorewall/ポリシー
$FW all ACCEPT
net all DROP info
vpn all ACCEPT info
all vpn ACCEPT info
all all REJECT info
/etc/shorewall/地域
vpn ipv4
/etc/shorewall/ホスト
vpn eth1:a.b.c.d ipsec
/etc/shorewall/インターフェース
net eth1 detect tcpflags,nosmurfs,routeback
ベストアンサー1
問題はホストファイルにあります。
- このエントリには往復パスを指定する必要があります。
- IPアドレス/範囲の組み合わせは、IPsecトンネルの背後にあるIPアドレスを指定します。この場合はすべてです。
vpn eth1:0.0.0.0/0 ipsec,routeback