LostSoul Опубликовано 20 июля, 2019 · Жалоба напомню суть проблемы. входящие на роутер пакеты c ip proto 47 ( gre ) видно в цепочке raw/PREROUTING и не видно в цепочке nat/PREROUTING. в conntrack -E ( event ) трафик с photo 47 тоже не видно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 20 июля, 2019 · Жалоба А как же микротик? Зачем Линукс? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ixi Опубликовано 22 июля, 2019 · Жалоба -j TRACE пробовали? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 22 июля, 2019 · Жалоба я не копал глубоко, но что-то вспоминаю про спец. модуль ядра для ната gre, он загружен? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SABRE Опубликовано 22 июля, 2019 · Жалоба Какие ещё правила есть? Conntrack другие ивенты показывает, кроме gre? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mixtery Опубликовано 23 июля, 2019 (изменено) · Жалоба del Изменено 23 июля, 2019 пользователем mixtery Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 31 июля, 2019 · Жалоба В 22.07.2019 в 22:22, SABRE сказал: Какие ещё правила есть? Conntrack другие ивенты показывает, кроме gre? на момент тестирования - никаких. все другие евенты показывает. включая и любые иные виды трафика, кроме proto 47 для данных правил. То есть стоит правило netmap с селектором по src ip , для любых иных типов трафика правило работает ( icmp , tcp ) для gre - нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 31 июля, 2019 · Жалоба посмотрите, изменится ли ситуация, если подгрузить модуль nf_conntrack_proto_gre ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 31 июля, 2019 · Жалоба 4 минуты назад, taf_321 сказал: посмотрите, изменится ли ситуация, если подгрузить модуль nf_conntrack_proto_gre ? в теме выше написано что я пробовал десятки комбинацией и загружено и выгружено всякое разное и.т.п ситуация на данный момент загружено nf_nat_pptp , nf_nat_proto_gre , nf_conntrack_proto_gre НЕ загружены ip_gre, gre. ( по ip tunnel список пуст ) net.netfilter.nf_conntrack_helper = 1 в таблице raw/PREROUTING пакет регистрируются, счётчик тикает, попадает в LOG target. в таблице nat/PREROUTING пакет gre уже не регистрируется, счетчик не тикает, в LOG target ничего не падает. при поступлении входящего gre пакета , на узел отправителя возвращается ответ , что ICMP <наш_хост> protocol 47 unreachable, length 36 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 31 июля, 2019 (изменено) · Жалоба 56 минут назад, LostSoul сказал: в таблице raw/PREROUTING пакет регистрируются, счётчик тикает, попадает в LOG target. в таблице nat/PREROUTING пакет gre уже не регистрируется, счетчик не тикает, в LOG target ничего не падает. Ну значит же что хелпер нифига не работает. Правда? Месяц прошел а ты все как об стенку. Ставь микротик и забудь как страшный сон. Линукс не для тебя. Кстати, в бэкпорте давно 4.19 Изменено 31 июля, 2019 пользователем TriKS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...