Chinaunix

标题: 关于openwrt防火墙的问题 [打印本页]

作者: wangmice 时间: 2014-11-05 21:46
标题: 关于openwrt防火墙的问题
我用自己编译的最新稳定版的 barrier break x86版。
设置了xl2tp服务器。
相关规则我是放在 /etc/firewall.user里的。刚开始客户端连接是成功的。然而第二次连接竟然失败。
比如其中两条规则是这样的：
iptables -I zone_wan_input -p udp -m udp --dport 4500 -m comment --comment "IPsec NAT-T" -j ACCEPT
iptables -I zone_wan_input -p udp -m udp --dport 500 -m comment --comment "IPsec IKE" -j ACCEPT
iptables -I INPUT  -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD  -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD  -m policy --dir out --pol ipsec --proto esp -j ACCEPT
iptables -I OUTPUT -m policy --dir out --pol ipsec --proto esp -j ACCEPT

经过反复查找，最后发现问题出在防火墙。当第一次连接成功后。我用iptables-save查看防火墙，发现前面的两条规则没有了，其实就是所有关于用户自定义链的规则全部消失了（就是zone_wan_input这样的链上的规则）。
而根链的规则还在。

另外一个问题。
我在firewall.user有的规则里使用了ipset。当系统重启后，所有使用了ipset的规则全部无效。而我的ipset新建集合的命令ipset -N XXXX XXX 是放在rc.local里的，我想是不是防火墙启动的时候ipset集合还没建立所以相关规则无效？
当firewall 重启一次就正常了。
想问一下 /etc/init.d和rc.local脚本到底是哪个先启动？

作者: 王华_ 时间: 2014-11-05 21:49
rc.local最后

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)