В сети вижу чужие компы

[AnrDaemon]

Vpn приходит только на один сервер. на который как раз пользователи не логинятся..

Не важно, на сколько серверов оно приходит. Оно приходит, этого достаточно, чтобы писать правила с оглядкой на известный факт.

[prasik]

(Нажмите, чтобы показать/скрыть)

*filter
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp -i eth0 --dport 10000 -j ACCEPT
-A INPUT -p tcp -m tcp -i eth1 --dport 10000 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2202 --sport 1024:65535 -j ACCEPT
-A INPUT -p udp -m udp -s x.x.x.x/32 -i eth0 --dport 1194 -j ACCEPT
-A INPUT -p udp -m udp -s x.x.x.x/32 -i eth0 --dport 1194 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i eth+ -p tcp -m tcp --dport 1723 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -m conntrack --ctstate DNAT,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -s 172.16.4.178/32 -j ACCEPT
-A FORWARD -s 172.16.4.54/32 -j ACCEPT
-A FORWARD -d 172.16.4.0/24 -i eth1 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 172.16.4.0/24 --dport 5190 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 172.16.4.13/32 --dport 21 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 172.16.4.0/24 --dport 9531 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 172.16.4.2/32 --dport 443 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 172.16.4.34/32 --dport 443 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 172.16.4.54/32 --dport 443 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 172.16.4.54/32 --dport 11371 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 172.16.4.247/32 -d 195.239.59.213/32 --dport 9210 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 172.16.4.246/32 -d 195.239.59.213/32 --dport 9210 -j ACCEPT
-A FORWARD -p tcp -m tcp -d 172.16.4.248/32 -i eth1 --dport 3389 -j ACCEPT
COMMIT

полностью блокирует доступ из винды к серверу по самбе.. остальное работает

[AnrDaemon]

Откуда именно доступ? К этому конкретно серверу? (С которого фильтры показываешь?)

[prasik]

Из внетренней сетки не могу попасть к серверу внетреннему.

[AnrDaemon]

Внутренняя сеть на eth1 ?
smbclient -L имясервера

[Lifewalker]

если бы я видел чужие компы- первое бычто я попробовал - поадминить их)))))

Гы! Вы думаете эти идиоты заметят? Один мой сосед заметил моё вмешательство только когда я подменил его личную порнуху на чужую

[Дмитрий Бо]

Чота у меня тоже в Shortcuts в Cairo-Dock периодически толпы компов из провайдерской локалки образуются, надо будет посмотреть задумчивым взглядом на это дело.

[prasik]

Внутренняя сеть на eth1 ?
smbclient -L имясервера

да eth1 сеть eth0 инет

[AnrDaemon]

Проверяйте настройки Самбы. Должно работать. У вас безусловное разрешение трафика на eth1 стоит.

[prasik]

Проверяйте настройки Самбы. Должно работать. У вас безусловное разрешение трафика на eth1 стоит.

если настройки стоят

(Нажмите, чтобы показать/скрыть)

*filter
:INPUT ACCEPT [4761:2921982]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3971:1035160]
COMMIT
*mangle
:PREROUTING ACCEPT [4761:2921982]
:INPUT ACCEPT [4761:2921982]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3971:1035160]
:POSTROUTING ACCEPT [4027:1043805]
COMMIT
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
-A PREROUTING -p tcp -m multiport -i eth1 -j REDIRECT --to-ports 3128 --dports 80,8080
-A PREROUTING -p tcp -m tcp -d x.x.x.x./32 -i eth1 --dport 25 -j DNAT --to-destination 172.16.4.248
-A PREROUTING -p tcp -m tcp -d x.x.x.x./32 -i eth1 --dport 110 -j DNAT --to-destination 172.16.4.248
-A PREROUTING -p tcp -m tcp -d x.x.x.x./32 -i eth1 --dport 3389 -j DNAT --to-destination 172.16.4.248
COMMIT

то все работает. до сервера могу достучатся..

как только ставлю

(Нажмите, чтобы показать/скрыть)

*filter
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp -i eth0 --dport 10000 -j ACCEPT
-A INPUT -p tcp -m tcp -i eth1 --dport 10000 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2202 --sport 1024:65535 -j ACCEPT
-A INPUT -p udp -m udp -s x.x.x.x/32 -i eth0 --dport 1194 -j ACCEPT
-A INPUT -p udp -m udp -s x.x.x.x/32 -i eth0 --dport 1194 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i eth+ -p tcp -m tcp --dport 1723 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -m conntrack --ctstate DNAT,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -s 172.16.4.178/32 -j ACCEPT
-A FORWARD -s 172.16.4.54/32 -j ACCEPT
-A FORWARD -d 172.16.4.0/24 -i eth1 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 172.16.4.0/24 --dport 5190 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 172.16.4.13/32 --dport 21 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 172.16.4.0/24 --dport 9531 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 172.16.4.2/32 --dport 443 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 172.16.4.34/32 --dport 443 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 172.16.4.54/32 --dport 443 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 172.16.4.54/32 --dport 11371 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 172.16.4.247/32 -d 195.239.59.213/32 --dport 9210 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 172.16.4.246/32 -d 195.239.59.213/32 --dport 9210 -j ACCEPT
-A FORWARD -p tcp -m tcp -d 172.16.4.248/32 -i eth1 --dport 3389 -j ACCEPT
COMMIT

и усе

[AnrDaemon]

Эй-эй, а это ещё что за шутки?
-A PREROUTING -p tcp -m multiport -i eth1 -j REDIRECT --to-ports 3128 --dports 80,8080
Выправьте правило.
И показывайте полностью вывод iptables-save, а не тезисные выдержки из него.

[prasik]

на данный момент стоит самый простой конфиг

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Wed Jun  8 11:29:19 2011
*nat
:PREROUTING ACCEPT [14164:1392366]
:POSTROUTING ACCEPT [2:120]
:OUTPUT ACCEPT [2112:299642]
-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -d х.х.х.х/32 -i eth1 -p tcp -m tcp --dport 25 -j DNAT --to-destination 172.16.4.248
-A PREROUTING -d х.х.х.х/32 -i eth1 -p tcp -m tcp --dport 110 -j DNAT --to-destination 172.16.4.248
-A PREROUTING -d х.х.х.х/32 -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 172.16.4.248
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Wed Jun  8 11:29:19 2011
# Generated by iptables-save v1.4.4 on Wed Jun  8 11:29:19 2011
*mangle
:PREROUTING ACCEPT [5613572:299534153]
:INPUT ACCEPT [5612415:299485886]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [9647008:13920010153]
:POSTROUTING ACCEPT [9648708:13920415040]
COMMIT
# Completed on Wed Jun  8 11:29:19 2011
# Generated by iptables-save v1.4.4 on Wed Jun  8 11:29:19 2011
*filter
:INPUT ACCEPT [5612415:299485886]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [9647008:13920010153]
-A FORWARD -d 172.16.3.0/24 -i eth1 -j ACCEPT
COMMIT
# Completed on Wed Jun  8 11:29:19 2011

[AnrDaemon]

Но он бессмысленен, за исключением таблицы nat... которая теперь выглядит правильно, да.

[prasik]

буду постепенно прикручивать правила из Ващего первого ответа


как только прикручиваю

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 172.16.3.0/24 -i eth1 -j ACCEPT
COMMIT

доступа к серверу нет и по ssh ни по сампе.

[fisher74]

Почитать выше, признаюсь, ленно, потому короткий вопрос: а пытаетесь зайти со стороны eth1?