yes the rule forward also is into script.<br><br><div class="gmail_quote">2009/5/19 Paul Wouters <span dir="ltr">&lt;<a href="mailto:paul@xelerance.com">paul@xelerance.com</a>&gt;</span><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="im">On Tue, 19 May 2009, Walter Willis wrote:<br>
<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
I am using centos 4.7 with openswan the openswan workfine, but the upgrade<br>
kernel for 2.6.18... but the iptables not pass the openswan packets.<br>
</blockquote>
<br></div>
I am not sure how the updated kernel would break iptables....but<div class="im"><br>
<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT<br>
iptables -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT<br>
</blockquote>
<br></div>
You are missing for IPsec NAT-T:<br>
<br>
iptables -A INPUT -p udp --dport 4500 -j ACCEPT<br>
iptables -A OUTPUT -p udp --sport 4500 -j ACCEPT<div class="im"><br>
<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
iptables -A INPUT -p udp --sport 50 --dport 50 -j ACCEPT<br>
iptables -A OUTPUT -p udp --sport 50 --dport 50 -j ACCEPT<br>
<br>
iptables -A INPUT -p 50 -j ACCEPT<br>
iptables -A OUTPUT -p 50 -j ACCEPT<br>
</blockquote>
<br></div>
You will also need to have either FORWARD rules allowing things, or<br>
ip_forward enabled in sysctl.conf.<br><font color="#888888">
<br>
Paul<br>
</font></blockquote></div><br>