настройка iptables

[aSmile]

НЕ согласен с обоими. Нужно в PREROUTING пробросить порт, а в FORWARD разрешить проброшенные пакеты (и обратные тоже не забыть)

Так в PREROUTING он уже написал, а вместо PREROUTING писал INPUT.
А вот про обратные мы не думали, т.к. они по идее должны быть уже разрешены (нам же не iptables-save показали)

[fisher74]

Извините, я на форуме набегами, потому не пересматриваю ВСЮ ветку.

Код: [Выделить]

iptables -t filter -A INPUT -i eth1 -p tcp --dport 3389 -j ACCEPT   /открываю портЭто правило лишнее...

То что правило лишнее - однозначно. Точнее разрешать надо, как уже указали в цепочке FORWARD.
НО!!!!

после его срабатывания пакет дальше по цепочкам не проходит

В корне неверно. Это правило не сработает никогда.
Так как цепочка PREROUTING таблицы nat отрабатывает раньше. И именно там, приходящий на интерфейс eth1 на порт 3389 пакет уже преобразовывается и уходит в цепочку FORWARD таблицы filter (таблицу mangle мы не обсуждаем) и в цепочку INPUT уже не попадает.
Пользователь решил продолжить мысль 01 Июня 2012, 18:46:27:И да, без всех правил можно упустить пару моментов.