У Вас могут быть проблемы с conntrack тайм-аутами. Я не знаю, имеет ли это место, кажется, что Ваши правила были бы достаточны, не используя conntrack, но так или иначе, можно хотеть сохранить некоторое движение на туннеле для хранения этого открытым. Вы не должны загружать веб-страницу с помощью завихрения, простой ping должен быть достаточным.
Если Вы хотите попробовать большим conntrack тайм-аутом, попробуйте это:
sysctl net.netfilter.nf_conntrack_generic_timeout=7200
sysctl net.ipv4.netfilter.ip_conntrack_generic_timeout=7200
Другие общие сведения:
-i <eth>
аргумент правилу PREROUTING и a -o <eth>
аргумент правилу POSTROUTING. Избегает правил дать осечку и уменьшает загрузку в брандмауэр.Это кажется на желание чего-то близко к средству выделения приятеля, для заимствования страницы (ха ха) из памяти управление.
Шаг 1: Преобразуйте диапазон, который Вы имеете в серию блоков CIDR, которые являются как можно больше, не пересекая границу диапазона или накладываясь с другим блоком.
Шаг 2: Учитывая выделение Вы пытаетесь соответствовать, найти самый маленький блок, который будет соответствовать ему. Идеально это будет соответствовать ему точно, но в противном случае Вы разделите самый маленький блок, который Вы действительно находили (потенциально рекурсивно), пока Вы не в блоке правильного размера.
Моя формулировка не особенно изящна здесь, но я надеюсь, что Вы получаете идею.
Нет CIDR, который ограничен 10.10.1.0 - 10.10.2.128
10.10.1.0 / 22 10.10.0.0 - 10.10.3.255
10.10.1.0 / 23 10.10.0.0 - 10.10.1.255
10.10.1.0 / 24 10.10.1.0 - 10.10.1.255
У Вас могло быть две отдельных сети:
10.10.1.0 / 24 10.10.1.0 - 10.10.1.255
10.10.2.0 / 25 10.10.2.0 - 10.10.2.127