SuSeFirewall2 и VPN

Pусский (Russian) Общий
1

Всем доброго времени суток!
Такая проблема, есть машинка с OpenSuSe 12.3 на борту, со следующими настройками:

  1. WAN IP - 213.XXX.XXX.189
  2. LAN IP - 192.168.1.8
    Установлен xl2tpd и openswan, cat /etc/xl2tpd/xl2tpd.conf:
[global]
listen-addr = 213.xxx.xxx.189
ipsec saref = yes
force userspace = yes
debug tunnel = yes
auth file = /etc/xl2tpd/l2tp-secrets
[lns default]
ip range = 192.168.1.51-192.168.1.100
local ip = 192.168.1.50
require chap = yes
refuse pap = yes
require authentication = yes
name = LinuxVPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

cat /etc/ppp/options.xl2tpd


ipcp-accept-local
ipcp-accept-remote
ms-dns  192.168.1.1
ms-dns  192.168.1.3
ms-wins 192.168.1.2
ms-wins 192.168.1.4
noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000
require-mschap-v2
require-mppe-128

VPN устанавливается, все клиенты нормально соединяются, но в сети 192.168.1.0 ничего кроме 192.168.1.50 пропинговать не могут, вот таблица маршрутизации клиента после запуска VPN:


Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0       172.16.5.1       172.16.5.2    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
       172.16.5.0    255.255.255.0         On-link        172.16.5.2    276
       172.16.5.2  255.255.255.255         On-link        172.16.5.2    276
     172.16.5.255  255.255.255.255         On-link        172.16.5.2    276
      192.168.1.0    255.255.255.0     192.168.1.50     192.168.1.51     21
     192.168.1.51  255.255.255.255         On-link      192.168.1.51    276

Т.е. нужные маршруты клиенты получают. Т.е. проблема именно в фаерволе.
В логах вижу следующее:
cat /var/log/firewall


2013-04-02T23:12:02.144982+04:00 mailsrv kernel: [91489.520586] SFW2-FWDint-DROP-DEFLT IN=ppp0 OUT=eth0 MAC= SRC=192.168.1.51 DST=192.168.1.4 LEN=96 TOS=0x00 PREC=0x00 TTL=127 ID=23862 PROTO=UDP SPT=137 DPT=137 LEN=76
2013-04-02T23:12:31.105000+04:00 mailsrv kernel: [91518.481068] SFW2-FWDint-DROP-DEFLT IN=ppp0 OUT=eth0 MAC= SRC=192.168.1.51 DST=192.168.1.1 LEN=61 TOS=0x00 PREC=0x00 TTL=127 ID=31444 PROTO=UDP SPT=62855 DPT=53 LEN=41

Подскажите пожалуйста, что нужно прописать в SuSefirewall2, что бы он перестал блокировать пакеты пришедшие с интерфейса ppp0? Сам интерфейс ppp0 прописан в DEV_INT.

На всякий случай содержимое SuSefirewall2:


FW_DEV_EXT="eth1"
FW_DEV_INT="eth0 any"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="no"
FW_MASQ_DEV=""
FW_MASQ_NETS=""
FW_NOMASQ_NETS=""
FW_PROTECT_FROM_INT="no"
FW_SERVICES_EXT_TCP="1701 4500 500"
FW_SERVICES_EXT_UDP="1701 4500 500"
FW_SERVICES_EXT_IP="50 51 esp"
FW_SERVICES_EXT_RPC=""
FW_CONFIGURATIONS_EXT="sshd"
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_CONFIGURATIONS_DMZ=""
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC=""
FW_CONFIGURATIONS_INT=""
FW_SERVICES_DROP_EXT=""
FW_SERVICES_DROP_DMZ=""
FW_SERVICES_DROP_INT=""
FW_SERVICES_REJECT_EXT=""
FW_SERVICES_REJECT_DMZ=""
FW_SERVICES_REJECT_INT=""
FW_SERVICES_ACCEPT_EXT=""
FW_SERVICES_ACCEPT_DMZ=""
FW_SERVICES_ACCEPT_INT=""
FW_SERVICES_ACCEPT_RELATED_EXT=""
FW_SERVICES_ACCEPT_RELATED_DMZ=""
FW_SERVICES_ACCEPT_RELATED_INT=""
FW_TRUSTED_NETS=""
FW_FORWARD=""
FW_FORWARD_REJECT=""
FW_FORWARD_DROP=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY=""
FW_STOP_KEEP_ROUTING_STATE=""
FW_ALLOW_PING_FW=""
FW_ALLOW_PING_DMZ=""
FW_ALLOW_PING_EXT=""
FW_ALLOW_FW_SOURCEQUENCH=""
FW_ALLOW_FW_BROADCAST_EXT="no"
FW_ALLOW_FW_BROADCAST_INT="no"
FW_ALLOW_FW_BROADCAST_DMZ="no"
FW_IGNORE_FW_BROADCAST_EXT="yes"
FW_IGNORE_FW_BROADCAST_INT="no"
FW_IGNORE_FW_BROADCAST_DMZ="no"
FW_ALLOW_CLASS_ROUTING=""
FW_CUSTOMRULES=""
FW_REJECT=""
FW_REJECT_INT=""
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING=""
FW_IPSEC_TRUST="yes"
FW_ZONES=""
FW_ZONE_DEFAULT=''
FW_USE_IPTABLES_BATCH=""
FW_LOAD_MODULES="nf_conntrack_netbios_ns"
FW_FORWARD_ALWAYS_INOUT_DEV=""
FW_FORWARD_ALLOW_BRIDGING=""
FW_WRITE_STATUS=""
FW_RUNTIME_OVERRIDE=""
FW_LO_NOTRACK=""
FW_BOOT_FULL_INIT=""
2 
# Setting this option one alone doesn't do anything. Either activate
# masquerading with FW_MASQUERADE below if you want to masquerade
# your internal network to the internet, or configure FW_FORWARD to
# define what is allowed to be forwarded.

Но есть более распущенный вариант:

...
# Specifies whether routing between interfaces of the same zone should be allowed
# Requires: FW_ROUTE="yes"
...
FW_ALLOW_CLASS_ROUTING="int"
3

Спасибо, после добавления FW_ALLOW_CLASS_ROUTING=“int” все заработало. Методом сравнения iptables -L, до и после, обнаружил что этот параметр добавляет:
iptables -A forward_int -j ACCEPT -i eth0 -o ppp0
iptables -A forward_int -j ACCEPT -i ppp0 -o eth0
Не подскажите есть ли ресурс где можно почитать про актуальные версии SuSeFirewall2 и ВСЕ его параметры? Гуглуние на эту тему к сожалению не помого

4

В /etc/sysconfig/SuSEfirewall2 разве не все параметры описаны?