Add additional firewall rules to allow clients
authorNeutron Soutmun <neo.neutron@gmail.com>
Mon, 6 Apr 2009 02:08:31 +0000 (09:08 +0700)
committerNeutron Soutmun <neo.neutron@gmail.com>
Mon, 6 Apr 2009 02:08:31 +0000 (09:08 +0700)
2009-04-06  Neutron Soutmun <neo.neutron@gmail.com>

* example/firewall.sh.in: Add the additional rules to allow in some situation
  the connections could not established before the FORWARD rules allow the
  clients, thus the connections never mark.  Just allow them passthrough the
  rules if the connections do not mark but the clients are in the set
  (allow them).

ChangeLog
example/firewall.sh.in

index 45a66b9..353bd88 100644 (file)
--- a/ChangeLog
+++ b/ChangeLog
@@ -1,5 +1,13 @@
 2009-04-06  Neutron Soutmun <neo.neutron@gmail.com>
 
+       * example/firewall.sh.in: Add the additional rules to allow in some situation 
+         the connections could not established before the FORWARD rules allow the 
+         clients, thus the connections never mark.  Just allow them passthrough the 
+         rules if the connections do not mark but the clients are in the set 
+         (allow them).
+
+2009-04-06  Neutron Soutmun <neo.neutron@gmail.com>
+
        * src/rahunasd.c, src/rh-task-{memset,ipset}.c: Fix the member deleted during
          polling process that cause the process will stop unexpectly.
        * src/rh-task-dbset.c:
index 4e6b5dd..72b077e 100755 (executable)
@@ -245,6 +245,14 @@ navigation_rules () {
   $IPTABLES $action FORWARD \
     $DEV_IN_PARAM $DEV_INTERNAL -s $CLIENTS \
     -j $CHAIN_FORWARD
+
+  # In some situation the connections could not established before
+  # the FORWARD rules allow the clients, thus the connections never mark.
+  # Just allow them passthrough the rules if the connections do not mark but
+  # the clients are in the set (allow them).
+  $IPTABLES $action FORWARD -m set --set $SETNAME dst -j $CHAIN_FORWARD_AUTH
+  $IPTABLES $action FORWARD -m set --set $SETNAME src -j $CHAIN_FORWARD_AUTH
+
   $IPTABLES $action FORWARD -m connmark --mark 2/2 \
     $DEV_OUT_PARAM $DEV_INTERNAL -d $CLIENTS \
     -j $CHAIN_FORWARD_AUTH