RESEAU et IPTABLES: vpn et logs

Bonjour

J’ai 2 problèmes avec iptables.
L’archi est la suivante: LAN => GW debian (serveur web, proxy, mesasgerie, FW, ftp etc…) => freebox
Les chaines INPUT FORWARD OUTPUT sont donc utilisées

J’ai une config iptables assez detaillé avec du nat
J’ai une config simple avec le même NAT
Mais dans les 2 cas le NAT est configuré à l’identique

iptables -t nat -L -nv
Chain PREROUTING (policy ACCEPT 4458 packets, 258K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 7 packets, 440 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2232  131K MASQUERADE  all  --  *      *       10.38.38.0/24        0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 7 packets, 440 bytes)
 pkts bytes target     prot opt in     out     source               destination

Avec la config simple le tunnel depuis le LAN vers internet fonctionne a tous les coups - Avec la config detaillée, le VPN fonctionne parfois, mais pas souvent, je reste bloqué sur l’authentification et ce même en retirant la derniere regle DROP des chaines…BUG ?

De plus je voudrais faire une interface web pour afficher les logs de iptables - J’ai des logs en debut de regles pour ce qui est accepté et une avant derniere ligne pour loguer ce qui est DROP. Mais evident les packets droppés sont loggués 2 fois - premiere ligne de log et l’avant derniere…Existe t’il un moyen de faire un tri ?

Merci de votre aide

Il faut spécifier un préfixe unique dans chaque règle LOG avec l’option [mono]–log-prefix[/mono] pour différencier l’origine des messages. Accessoirement, faire un log des paquets acceptés n’est pas très utile à mon avis, au moins dans un premier temps.

Pour le reste : on ne connaît pas le type de VPN, on ne connaît pas les jeux de règles iptables, on ne peut pas t’aider.

Merci de ta reponse

Le prefix est deja positionné. Il y a un regle pour logguer le trafic “accepter” afin de verifier que le packet est bien pris en compte. Ce qui permet sur un filtre SQL de voir le packet traité et “permit”.
Le problème est que les logs sont doublés puisque le packet passe dans la regle “generale” et “DROP”…Sur d’autres FW il y a un TAG - Bref, tu as quand même répondu à ma question, concernant le VPN c’est un tunnel GRE et un port 1723.

Les regles de FW sont basiques - mais je vais regarder de plus près afin d’apporter plus d’infos

Merci encore

Pour quoi faire ?