Железка не авторизуется через tacacs+

В iptables правило подключение разрешает, в tcpdump, запущенном на сервере, видны попытки достучаться до tacacs по правильным портам, а ответа от сервера никакого нет.

Точно проблема не в файрволе? tcpdump работает ДО iptables, то есть если ты таки режешь что-то на INPUT, в tcpdump этого видно НЕ будет.

Покажи iptables-save и выхлоп tcpdump при стуке

Начнем с простого - с железки telnet'ом на порт 49 сервера TACACS+. Работает?

то есть если ты таки режешь что-то на INPUT, в tcpdump этого видно НЕ будет.

Ничего не попутали?

Ничего не попутал. В tcpdump не будет видно режешь ли ты что-то файрволом или нет - пакеты ВСЕГДА будут приходить

Извините. Вы так сформулировали что можно понять обратное.
Вот в этой формулировке все верно.

В tcpdump не будет видно режешь ли ты что-то файрволом или нет - пакеты ВСЕГДА будут приходить

Не вижу смысла показывать вывод iptables-save, потому что с выключенным iptables то же самое.

Вот такого типа пакеты tcpdump видит, белый айпишник и порт цензурю

16:06:52.326730 IP 192.168.10.2.52154 > x.x.x.x.p: Flags [S], seq 2973885100, win 4128, options [mss 536], length 0
16:06:54.326350 IP 192.168.10.2.52154 > x.x.x.x.p: Flags [S], seq 2973885100, win 4128, options [mss 536], length 0

Да, работает.

Хотя че я порт цензурю, стандартный же 49.

Может на разных интерфейсах ищут друг друга ?

Форвард же должен быть включен, не ?

Там два интерфейса, такакс слушает с обоих, и так же на оба интерфейса пробует достучаться злополучная циска.

Окей, а теперь покажи таблицу маршрутизации. Может у тебя там rp_filter шалит - запрос приходит с одного интерфейса, а ответ на этот адрес должен пойти с другого - по умолчанию такое поведение режется. Причем не файрволом - т.к. с точки зрения системы это не forward трафик.

Спасибо за подсказку,

# echo 2 > /proc/sys/net/ipv4/conf/default/rp_filter
# echo 2 > /proc/sys/net/ipv4/conf/all/rp_filter

Всё работает ^^