服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Shorewall:DNAT到IPSEC隧道区域的路由不正确
Intereting Posts
从Google Apps地址发送电子邮件 Nagios – 新用户没有启用权限 Windows VSS可以为小于单个卷的单元创build快照 如何安全地将邮箱移动到另一台服务器? 如何禁用“不允许驱动器redirect”本地策略不使用GUI? amazon web servicesEFS似乎没有保存文件 在中央服务器上有250个数据目录的用户 – 你将如何设置它? 在Kerberos / LDAP下更改用户密码 我可以使用什么* nix命令来查找我的外部IP? PowerCLI – 使用现有的scsi控制器将共享硬盘添加到vm Nginx通过代理redirect,重写和保留URL 如何使用Supermicro IPMI远程安装操作系统? vmware esxi丢失数据存储 NGINX拒绝SSL上的连接 具有虚拟化远程桌面会话主机的GPU

Shorewall:DNAT到IPSEC隧道区域的路由不正确

我有一个ipsec隧道工作,可以访问192.168.4.0/24局域网。 它工作正常,我可以访问没有问题的另一边的主机: 

 # from fw and lan hosts: # ping 192.168.4.44 PING 192.168.4.44 (192.168.4.44) 56(84) bytes of data. 64 bytes from 192.168.4.44: icmp_req=1 ttl=127 time=4.41 ms

但是当我尝试将公共IP地址上的一个端口转发到另一端的主机时,它不会路由stream量: 

 # from wan side: # telnet xxxx 33901 telnet: Unable to connect to remote host: No route to host

在防火墙上执行telnet(wan)的tcpdump捕获: 

 # tcpdump -n -i eth0.20 host 37.15.173.52 10:09:48.312840 IP [fw_public_ip] > 37.15.173.52: ICMP host [fw_public_ip] unreachable, length 68

为什么shorewall正确路由从FW和LAN端的stream量,但不是从WAN?

—- shorewallconfiguration—-

相关routes条目: 

 #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL # PORT PORT(S) DEST DNAT:info wan vpn:192.168.4.44:3389 tcp 33901 - [fw_public_ip]

相关zones条目: 

 #ZONE TYPE wan ipv4 vpn ipv4

相关hosts条目: 

 #ZONE HOSTS OPTIONS vpn eth0.20:192.168.4.0/24,[ipsec_host_ip] ipsec

相关tunnels条目: 

 #TYPE ZONE GATEWAY GATEWAY ZONE ipsec wan [ipsec_host_ip]

相关interfaces条目: 

 #ZONE INTERFACE BROADCAST OPTIONS wan eth0.20 detect dhcp,routefilter

相关的masq条目: 

 #INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK eth0.20 0.0.0.0/0 [fw_public_ip]