iptables – разрешить трафик из туннеля GRE с опцией reject-with

Система: CentOS 7.

/etc/sysconfig/iptables выглядит следующим образом:

 ... -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -i gre1 -j ACCEPT # not working -A OUTPUT -o gre1 -j ACCEPT # not working -A INPUT -j REJECT --reject-with icmp-host-prohibited 

Если последняя строка существует, мой туннель GRE не работает, ping / все не работает (хотя tcpdump фиксирует пакеты ping на другом конце), и если я удалю финальную строку в файле iptables , все будет работать.

Какую «команду» следует указать, чтобы разрешить весь трафик с gre1, но iptables все еще применяет правила eth0?

Благодарю.

Ах .. Небольшой тест подтверждает это решение.

 -A INPUT -p gre -j ACCEPT 

используя это позволит все gre пакеты.