---

@Theliel@  ha escrito:

Buenos días @taker59

 

Ahí está el problema, baja la 1º regla, todo el tráfico que entra de la red de ASKEY pasa por la primera regla, no se procesa la tercera, con lo que no se fija el MSS. Tampoco la puedes llevar abajo del todo añadiéndola con -A que la llevaría abajo del todo y por tanto la filtraría la regla 5.

 

En vez de usar

 

iptables -I  FORWARD -s .....

 

insertala en 4º posición por ejemplo:

 

iptables -I FORWARD 4 -s 192.168.1.0/24 -j ACCEPT

 

y problema resuelto

 

---

Ok gracias,lo probaré en cuanto llegue a casa.

Por cierto,yo sólo he añadido las reglas en los scripts que anteriormente me comentaste en otros posts.Esta regla se puede añadir sin más en el script firewall-start por ejemplo? O nat-start?

Un saludo y gracias.

Buenas @taker59

En su día puse unos scripts genéricos, la verdad, ni me acuerdo que puse, en mi caso tengo incluso automatizado en los mismos scripts la creación de rutas en el ASKEY y otras cosas, desde el propio ASUS

Si claro, esa regla o cambiar una regla por otra o lo que quieras, lo puedes meter en los scripts, usa mejor nat-start para ese último

---

@Theliel@  ha escrito:

Buenas @taker59

 

En su día puse unos scripts genéricos, la verdad, ni me acuerdo que puse, en mi caso tengo incluso automatizado en los mismos scripts la creación de rutas en el ASKEY y otras cosas, desde el propio ASUS

 

Si claro, esa regla o cambiar una regla por otra o lo que quieras, lo puedes meter en los scripts, usa mejor nat-start para ese último

---

Hola @Theliel ,te cuento.

En el script de firewall-start tengo esto....

#!/bin/sh
iptables -I FORWARD -s 192.168.1.0/24 -j ACCEPT

y he borrado ese scripts (firewall-start)

He metido la linea ...

iptables -I FORWARD 4 -s 192.168.1.0/24 -j ACCEPT

en el nat-start.He reiniciado y ...sorpresa!! no tengo internet en ningun aparato,el asus si que pilla internet ya que tiene ip publica.

Ahora el script de nat-start esta de esta forma......

#!/bin/sh

iptables -t nat -I POSTROUTING -o eth0 -d 192.168.1.0/24 -j MASQUERADE


iptables -I FORWARD 4 -s 192.168.1.0/24 -j ACCEPT

Como lo ves?

He creado la linea en firewall-start y me sale ahora asi.....

pkts bytes target     prot opt in     out     source               destination 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            224.0.0.0/4 
  714 40644 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcpflags: 0x06/0x02 TCPMSS clamp to PMTU
 1826  180K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
  226 14344 ACCEPT     all  --  *      *       192.168.1.0/24       0.0.0.0/0   
    0     0 other2wan  all  --  !br0   ppp0    0.0.0.0/0            0.0.0.0/0   
    0     0 other2wan  all  --  !br0   eth0    0.0.0.0/0            0.0.0.0/0   
    7   280 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
    0     0 ACCEPT     all  --  br0    br0     0.0.0.0/0            0.0.0.0/0   
  351 36104 NSFW       all  --  *      *       0.0.0.0/0            0.0.0.0/0   
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate DNAT
  351 36104 OVPN       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW
  351 36104 ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0   

He probado en paginas que no cargaban por el problema de mtu,por ejemplo movistar.es y ahora si que abren correctamente.

Buenas @taker59

Me alegra saberlo :), en nat-start debería de ir también, pero es verdad que se ejecuta antes que firewall-start y puede tener un problema de tempo, y algunas diferencias entre dispositivos. Por lo general el orden de ejecución es:

init-start, wan-start, nat-start, firewall-start y services-start

Y entre medios de ellos, dependiendo de varios factores, se entremete pre-mount y post-mount.

Son disparadores, quiere decir que en realidad puedes meter lo que quieras en cualquiera para ejecutarse, pero algunas cosas requieren como es natural que se hayan iniciado antes, al igual que otras cosas que se inician dependen de otras anteriores, así que a veces el orden importa muchisisimo. En este caso da igual, es una inserción a dedo, se puede poner en firewall, otra cosa habría sido añadirla a lo mejor en nat-start o en wan-start como inserción y a lo mejor la colocaba perfectamente en su lugar, pero sinceramente ni ganas ni historias de sacar en que momento exacto se va creando cada regla, así que a dedo en el puesto 4 en tu caso, y listo.

Antes funcionaba bien, pero eso... el router no llegaba a fijar el MSS adecuado con lo que podía fallar

En cualquier caso me alegro que esté todo funcionando 🙂

Hola ,buenas noches @Theliel .

Estoy pensando en quitar un swith y colocar otro hgu su posición......

(hgu=ont)---------asus-----------(hgu x swith)

pero no tengo claro que rutas tengo que meter para que me pase la tv desde el asus a este hgu.

Un saludo y gracias.

Buenas @taker59

No entiendo... el asus ya sabe como pasar todo hacia arriba, no tiene ningún problema, si recibe petición de abajo, lo subirá, igual que hace con un switch.

En todo caso, tendrás que modificar el segundo HGU si te da problemas. Por desgracia no puedo probarlo ni hacer pruebas dado que no tengo dos HGU, pero lo que es al ASUS no tienes que tocarle nada