UFW в Ubuntu 12.04 server, "то ли лыжи не едут....то ли я ...."

[neurotoxin]

Доброго времени суток господа!
Суть такая, прочитал о том как настроить маскарадинг в Убунте 12.04 server с помощью ufw.
Сделал всё по инструкции. Вот конфиг before.rules

Код: [Выделить]


#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
#   ufw-before-input
#   ufw-before-output
#   ufw-before-forward
#


# Don't delete these required lines, otherwise there will be errors
*filter
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-not-local - [0:0]
# End required lines

#nat Table rules
Это тот кусок, который рекомендует офф. документация, я пробовал ставить его и в самом начале файла.
[b]*nat
:POSTROUTING ACCEPT [0:0]
#Forwardtraffic from eth1 through eth0.
-A POSTROUTING -s 10.10.0.0/24 -o eth1 -j MASQUERADE # eth1 у меня в мир смотрит, а 10.10.0.0 сеть локальная на eth0
-A POSTROUTING -s 192.168.122.0/24 -0 eth1 -j MASQUERADE[/b] # 192.168.122.0 сеть qemu-kvm


#don't delete the 'COMMIT' line or these nat table rules won't be processed
COMMIT



# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT

# quickly process packets for which we already have a connection
-A ufw-before-input -m state --state RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -m state --state RELATED,ESTABLISHED -j ACCEPT

# drop INVALID packets (logs these in loglevel medium and higher)
-A ufw-before-input -m state --state INVALID -j ufw-logging-deny
-A ufw-before-input -m state --state INVALID -j DROP

# ok icmp codes
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

# allow dhcp client to work
-A ufw-before-input -p udp --sport 67 --dport 68 -j ACCEPT

#
# ufw-not-local
#
-A ufw-before-input -j ufw-not-local

# if LOCAL, RETURN
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN

# if MULTICAST, RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN

# if BROADCAST, RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN

# all other non-local packets are dropped
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

# allow MULTICAST UPnP for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 239.255.255.250 --dport 1900 -j ACCEPT

# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT


А вот вывод iptables -L -t nat после включения ufw enable

Код: [Выделить]

root@proxima:~# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination       
То есть пусто, не применились правила для nat и естественно ни нет инета в локальной сети.

Кто может пояснить в чём тут дело, а то я начинаю подозревать в себе психические отклонения, а это не есть гуд.

[AnrDaemon]

А без UFW это делается одной командой...

[neurotoxin]

Да! Я в курсе, но хочется именно через ufw, это прям не преодолимое желание.

[fisher74]

никогда не пользовался uwf, но попробую предложить перезапустить его в когсоли и посмотреть ошибки (либо в самой консоли, либо в логах)

[neurotoxin]

Смотрел, бес толку, а потом снес qemu-kvm вместе с libvirt и всё заработало.