Почему трафик подсети не идет в tun0?

Question

[trenikiVshtaniki]

Добрый день.
Имеется следующий конфиг иптейблс:

spoiler

# Generated by iptables-save v1.8.4 on Thu Mar 18 07:24:31 2021
*filter
:INPUT ACCEPT [168:26798]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2040:346660]
-A INPUT -i eth0 -m state --state NEW -m recent --update --seconds 300 --hitcount 60 --name DEFAULT --mask 255.255.255.255 --rsource -j DROP
-A INPUT -i eth0 -m state --state NEW -m recent --set --name DEFAULT --mask 255.255.255.255 --rsource
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A FORWARD -s 10.101.0.0/16 -m policy --dir in --pol ipsec --proto esp -j ACCEPT
-A FORWARD -d 10.101.0.0/16 -m policy --dir out --pol ipsec --proto esp -j ACCEPT
COMMIT
# Completed on Thu Mar 18 07:24:31 2021
# Generated by iptables-save v1.8.4 on Thu Mar 18 07:24:31 2021
*nat
:PREROUTING ACCEPT [690:65645]
:INPUT ACCEPT [174:27966]
:OUTPUT ACCEPT [28:2069]
:POSTROUTING ACCEPT [523:35444]
-A OUTPUT -m owner --uid-owner 115 -j RETURN
-A OUTPUT -p tcp -j REDIRECT --to-ports 9040
-A POSTROUTING -s 10.101.0.0/16 -o tun0 -j MASQUERADE
-A POSTROUTING -s 10.101.0.0/16 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT
COMMIT
# Completed on Thu Mar 18 07:24:31 2021
# Generated by iptables-save v1.8.4 on Thu Mar 18 07:24:31 2021
*mangle
:PREROUTING ACCEPT [4205:647189]
:INPUT ACCEPT [3290:583146]
:FORWARD ACCEPT [889:59439]
:OUTPUT ACCEPT [2040:346660]
:POSTROUTING ACCEPT [2929:406099]
-A FORWARD -s 10.101.0.0/16 -o eth0 -p tcp -m policy --dir in --pol ipsec -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
COMMIT
# Completed on Thu Mar 18 07:24:31 2021

Согласно правилу

-A POSTROUTING -s 10.101.0.0/16 -o tun0 -j MASQUERADE

трафик ipsec клиентов должен уходить в tun0, но почему-то этого не происходит и по ipsec нет "интернета". Что не так с конфигом?

Answer 1

[hint000]

Согласно правилу
-A POSTROUTING -s 10.101.0.0/16 -o tun0 -j MASQUERADE
трафик ipsec клиентов должен уходить в tun0

Нет. Согласно этому правилу, если трафик уйдёт в tun0, то его следует отмаскарадить. А если не в tun0 - то не следует маскарадить.

iptables вообще не управляет непосредственно тем, на какой интерфейс направить пакет. Опосредовано - через DNAT.
Выбор сетевого интерфейса - это задача маршрутизации, а не iptables.

Comments

[trenikiVshtaniki]

ip rule add from 10.101.0.0/16 table 200
вот это пропустил, после добавления все заработало, спасибо что направили в нужную сторону