похоже я нашол ответ..
вот как только я добавляю эти строки :
iptables -P INPUT DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
#
#eth1=INET
#eth0=LAN
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
#Пробросс 80 порта с LAN на 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#По умолчанию запрещаем весь транзит
iptables -P FORWARD DROP
#iptables -P INPUT DROP
#iptables -P OUTPUT ACCEPT
#Разрешить уже установленое соединение
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
#iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#Режим SYN Флуд
iptables -A FORWARD -p tcp --syn -m connlimit --connlimit-above 10 -j REJECT
################################################################################
iptables -A INPUT -s 10.0.50.1 -m mac --mac-source 00:00:00:00:00:01 -j ACCEPT
iptables -A INPUT -s 10.0.50.2 -m mac --mac-source 00:00:00:00:00:02 -j ACCEPT
################################################################################
#Открываем порты скопом если нужно...
#iptables -A FORWARD -o eth1 -m state --state NEW -p tcp -m multiport --dports 5190,48,941 -j ACCEPT
#
#Разрешаем себе пинг наружу - нас же не пропингуешь- пакеты отбрасываются
iptables -A INPUT -p icmp -m icmp -i eth1 --icmp-type echo-reply -j ACCEPT
iptables -A FORWARD -p icmp -m icmp -o eth1 --icmp-type echo-request -j ACCEPT
#Открываем порт для DNS
iptables -A INPUT -i eth0 -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
# Открываем SSH
iptables -A FORWARD -o eth1 -m state --state NEW -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
#Открываем порты для почты
iptables -A FORWARD -o eth1 -m state --state NEW -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT
iptables -A FORWARD -o eth1 -m state --state NEW -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -m state --state NEW -j ACCEPT
#ICQ/Miranda
iptables -A FORWARD -o eth1 -m state --state NEW -p tcp --dport 5190 -j ACCEPT
#Подклучение к Удаленому рабочему столу 3389
iptables -A FORWARD -o eth1 -m state --state NEW -p tcp --dport 3389 -j ACCEPT
#iptables -A FORWARD -o eth1 -m state --state NEW -p tcp --dport 80 -j ACCEPT
#TELNET
iptables -A FORWARD -o eth1 -m state --state NEW -p tcp --dport 23 -j ACCEPT
#Разрешить DNAT Трафик
iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
exit 0
у меня перестает ребутится сеть и не работает бинд..
А если прописываю вот это iptables -A INPUT -s 10.0.50.1 -m mac --mac-source 00:00:00:00:00:01 -j ACCEPT
То я с этой машины могу пинговать роутер. а роутер тем не меене не пингует сам себя висит и все...
что я делаю не так
?
вот мои правила..
Пользователь решил продолжить мысль 14 Мая 2010, 11:11:18:
перепроверил и правда у меня в правилах ошибка где то так как только пишу вот эти строки все работает бинд ребутится отвечает
на nslookap и енет есть.. iptables -P INPUT ACCEPT
подскажите что не так в моих правилах?
??