DROP пакетов...

[TrEK]

Гм... атк я именно об этом и спрашивал... отображаются ли в IFCONFIG отброшенніе пакеты файервола ?

(Нажмите, чтобы показать/скрыть)

root@gate:/etc/stargazer# cat /etc/iptables-save
# Generated by iptables-save v1.3.8 on Mon Sep  8 10:36:13 2008
#TrEK add---------[
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
#Dlya pravulnoi fragmentacii paketiv
#-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
#-A POSTROUTING -s 195.178.190.181 -o eth1 -j SAME --to 195.178.190.1-195.178.190.254 --nodst
#
COMMIT
#TrEK add end-----]
*nat
:PREROUTING ACCEPT [741004:57797819]
:POSTROUTING ACCEPT [1871:345984]
:OUTPUT ACCEPT [8086:776984]
## -----------------
-A PREROUTING -d 195.178.190.185 -p tcp --dport 8291 -j DNAT --to-destination 192.168.181.90:8291
-A POSTROUTING --dst 192.168.181.90 -p tcp --dport 8291 -j SNAT --to-source 192.168.180.5
##Remote IPTV-----------------
#-A PREROUTING -p udp -d 195.178.190.185 --dport 1234 -j DNAT --to-destination 192.168.180.42:1234
#-A POSTROUTING -p udp --dst 192.168.180.42 --dport 1234 -j SNAT --to-source 192.168.180.5
-A PREROUTING -p tcp -d 195.178.190.254 --dport 80 -j DNAT --to-destination 192.168.180.189:80
-A POSTROUTING -p udp --dst 192.168.180.189 --dport 80 -j SNAT --to-source 192.168.180.5
##Remote RDP-----------------
-A PREROUTING -p tcp -d 195.178.190.185 --dport 3389 -j DNAT --to-destination 192.168.180.44:3389
-A POSTROUTING -p tcp --dst 192.168.180.44 --dport 3389 -j SNAT --to-source 192.168.180.5
##Remote RDP-----------------POL1C3MAN
#-A PREROUTING -p tcp -d 195.178.190.222 --dport 3389 -j DNAT --to-destination 192.168.180.36:3389
#-A POSTROUTING -p tcp --dst 192.168.180.36 --dport 3389 -j SNAT --to-source 192.168.180.5
##Remote VEGA1
-A PREROUTING -p tcp -d 195.178.190.185 --dport 81 -j DNAT --to-destination 192.168.170.209:80
-A POSTROUTING -p tcp --dst 192.168.170.209 --dport 80 -j SNAT --to-source 192.168.180.5
##Remote VEGA2
-A PREROUTING -p tcp -d 195.178.190.185 --dport 82 -j DNAT --to-destination 192.168.170.213:80
-A POSTROUTING -p tcp --dst 192.168.170.213 --dport 80 -j SNAT --to-source 192.168.180.5
##OBLavtodor-----------------
-A PREROUTING -p tcp -d 195.178.190.185 --dport 37254 -j DNAT --to-destination 192.168.186.201:37254
-A POSTROUTING -p tcp --dst 192.168.186.201 --dport 37254 -j SNAT --to-source 192.168.180.5
##
#-A PREROUTING -s 195.178.190.181 -d 91.201.156.229 -p tcp --dport 80 -j DNAT --to-destination 91.201.156.3
###----- SQUID ---------###
#-A PREROUTING -i eth0 -p tcp -s 192.168.0.0/16 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j DNAT --to 192.168.180.5:3128
#-A PREROUTING -i eth0 -p tcp -s 195.178.190.0/24 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j DNAT --to 192.168.180.5:3128
#-A PREROUTING -i eth0 -p tcp -s 192.168.180.44 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128
#-A PREROUTING -i eth0 -p tcp -s 195.178.190.181 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128
#-A PREROUTING -i eth0 -p tcp -s 192.168.180.36 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128
#-A PREROUTING -i eth0 -p tcp -s 192.168.180.34 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128
#-A PREROUTING -i eth0 -p tcp -s 192.168.180.33 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128
#-A PREROUTING -i eth0 -p tcp -s 192.168.180.35 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128
#-A PREROUTING -i eth0 -p tcp -s 192.168.180.39 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128
#-A PREROUTING -i eth0 -p tcp -s 192.168.180.45 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128
#-A PREROUTING -i eth0 -p tcp -s 192.168.180.40 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128
#-A PREROUTING -i eth0 -p tcp -s 195.178.190.181 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128
#--- TORRENTS-port TrEK ---
#-A PREROUTING -p tcp -d 195.178.190.85 --dport 15448 -j DNAT --to-destination 192.168.180.37:15448
#-A POSTROUTING -p tcp --dst 192.168.180.37 --dport 15448 -j SNAT --to-source 195.178.190.185
#--- TORRENTS-port Po1ic3man ---
-A PREROUTING -p tcp -d 195.178.190.186 --dport 15448 -j DNAT --to-destination 192.168.180.36:15448
-A POSTROUTING -p tcp --dst 192.168.180.36 --dport 15448 -j SNAT --to-source 195.178.190.186
#--- TORRENTS-port Paladin ---
-A PREROUTING -p tcp -d 195.178.190.186 --dport 15449 -j DNAT --to-destination 192.168.180.44:15449
-A POSTROUTING -p tcp --dst 192.168.180.44 --dport 15449 -j SNAT --to-source 195.178.190.186
#--- Pereadresaciya ---
#-A PREROUTING -s 195.178.190.181 -d 195.68.160.7 -p tcp --dport 80 -j DNAT --to-destination 194.85.95.108
#-A PREROUTING -s 195.178.190.181 -d 195.68.160.7 -p tcp --dport 80 -j DNAT --to-destination 91.201.156.3
#-A PREROUTING -s 192.168.180.44 -p tcp --dport 80 -j DNAT --to-destination 91.201.156.3
#-A PREROUTING -i eth0 -s 192.168.180.37 -p tcp --dport 80 -j DNAT --to-destination 195.178.190.185
#-A PREROUTING -i eth0 -s 195.178.190.181 -j DNAT --to-destination 195.178.190.165
#--- NAT ---
#-A POSTROUTING -s 192.168.180.44 -p tcp --dport 80 -o eth1 -j SNAT --to-source 195.178.190.44
#-A POSTROUTING -s 192.168.180.36 -p tcp --dport 80 -o eth1 -j SNAT --to-source 195.178.190.36
#-A POSTROUTING -s 195.178.190.181 -p tcp --dport 80 -o eth1 -j SNAT --to-source 78.89.99.114
#
#
#-A POSTROUTING -s 192.168.180.37 -p tcp --dport 80 -o eth1 -j SNAT --to-source 195.178.190.37
#-A POSTROUTING -s 192.168.180.42 -p tcp --dport 80 -o eth1 -j SNAT --to-source 195.178.190.183
#-A POSTROUTING -s 192.168.179.201 -p tcp --dport 80 -o eth1 -j SNAT --to-source 195.178.190.187
#-A POSTROUTING -s 192.168.180.32/255.255.255.240 -p tcp --dport 25 -o eth1 -j SNAT --to-source 195.178.190.187
#-A POSTROUTING -s 192.168.180.32/255.255.255.240 -o eth1 -j SNAT --to-source 195.178.190.186
#-A POSTROUTING -s 192.168.0.0/255.255.0.0 -o eth1 -j SNAT --to-source 195.178.190.188
#-A POSTROUTING -s 192.168.0.0/255.255.0.0 -p tcp --dport 8080 -o eth1 -j SNAT --to-source 195.178.190.186
#
#
#
#-A POSTROUTING -s 192.168.189.249 -p tcp --dport 80 -o eth1 -j SNAT --to-source 195.178.190.252
#-A POSTROUTING -s 192.168.181.81 -p tcp --dport 80 -o eth1 -j SNAT --to-source 195.178.190.254
-A POSTROUTING -s 192.168.171.0/24 -p tcp --dport 80 -o eth1 -j SNAT --to-source 195.178.190.254
-A POSTROUTING -s 192.168.180.44 -p tcp --dport 80 -o eth1 -j SNAT --to-source 195.178.190.37
-A POSTROUTING -s 192.168.184.85 -p tcp --dport 80 -o eth1 -j SNAT --to-source 195.178.190.85
-A POSTROUTING -s 192.168.180.42 -p tcp --dport 80 -o eth1 -j SNAT --to-source 195.178.190.183
-A POSTROUTING -s 192.168.179.201 -p tcp --dport 80 -o eth1 -j SNAT --to-source 195.178.190.187
-A POSTROUTING -s 192.168.180.32/255.255.255.240 -p tcp --dport 25 -o eth1 -j SNAT --to-source 195.178.190.187
-A POSTROUTING -s 192.168.180.32/255.255.255.240 -o eth1 -j SNAT --to-source 195.178.190.186
-A POSTROUTING -s 192.168.0.0/255.255.0.0 -o eth1 -j SNAT --to-source 195.178.190.188
#-A POSTROUTING -s 192.168.0.0/255.255.0.0 -p tcp --dport 8080 -o eth1 -j SNAT --to-source 195.178.190.186
-A POSTROUTING -s 91.201.156.229/255.255.255.255 -o eth1 -j SNAT --to-source 195.178.190.185
#-A POSTROUTING -s 195.178.190.181 -o eth1 -j SNAT --to-source 91.201.156.229
#Botva
#-A POSTROUTING -s 195.178.190.181 -d 85.112.121.132 -p tcp --dport 80 -o eth1 -j SNAT --to-source 195.178.190.111
#JustParty
#-A POSTROUTING -s 195.178.190.181 -d 89.249.20.141 -p tcp --dport 80 -o eth1 -j SNAT --to-source 195.178.190.37
#-A POSTROUTING -s 195.178.190.181 -p tcp --dport 80 -o eth1 -j SNAT --to-source 195.178.190.125
### MULTI-NAT ###
#-A POSTROUTING -s 195.178.190.181 -m iprange --dst-range 195.178.190.2-195.178.190.254
#-A POSTROUTING -s 195.178.190.181 -o eth1 -p tcp -m multiport --dport 80,8080 -j SNAT --to 195.178.190.1-195.178.190.254 --persistent
#----------------
COMMIT
# Completed on Mon Sep  8 10:36:13 2008
# Generated by iptables-save v1.3.8 on Mon Sep  8 10:36:13 2008
*filter
:INPUT ACCEPT [352983:33981270]
:FORWARD ACCEPT [5424883:3256208557]
:OUTPUT ACCEPT [351929:32388287]
#-A FORWARD -s 91.201.156.229 -j DROP
#-A FORWARD -d 91.201.156.229 -j DROP
#Magazun-block
#-A FORWARD -i eth0 -s 192.168.180.43 -d 217.117.65.229 -j ACCEPT
#-A FORWARD -i eth0 -s 192.168.180.43 -d 217.117.65.240 -j ACCEPT
#-A FORWARD -i eth0 -s 192.168.180.43 -j DROP
#--- TrEK add===[
#Dlya pravulnoi fragmentacii paketiv
#-A FORWARD -s 195.178.190.181 -j DROP
#-A FORWARD -i eth1 -d 195.178.190.181 -j DROP
-A FORWARD -i eth0 -p icmp -s 192.168.180.44 -d 195.178.228.121 -j ACCEPT
-A FORWARD -i eth0 -p icmp -d 195.178.228.121 -j REJECT
#-A FORWARD -i eth0 -p icmp -s 195.178.190.181 -d 195.178.228.121 -j ACCEPT
#-A FORWARD -o eth1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
#-A FORWARD -i eth1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
#--- TrEK add===]
#--------- Obmezhennya Trafiky -------------
#-A FORWARD -s 192.168.180.44 -p tcp -m quota --quota 2147483000 -j ACCEPT
#-A FORWARD -s 192.168.180.44 -j DROP
#--------- Blokyvannya saytiv -------------
#-A FORWARD -s 192.168.185.240/255.255.255.240 -o eth1 -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP
#-A FORWARD -s 192.168.180.44 -o eth1 -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP
#-A FORWARD -s 192.168.180.44 -o eth1 -m string --string "fishki.net" --algo kmp --to 65535 -j DROP
#-A FORWARD -s 192.168.180.36 -o eth1 -m string --string "yaplakal.com" --algo kmp --to 65535 -j DROP
#--------- Blokyvannya DNS politexa ---
#-A FORWARD -p tcp --dport 53 -d 91.201.156.2 -j DROP
#-A FORWARD -p udp --dport 53 -d 91.201.156.2 -j DROP
#-A FORWARD -p tcp --dport 53 -d 91.201.156.3 -j DROP
#-A FORWARD -p udp --dport 53 -d 91.201.156.3 -j DROP
#-A FORWARD -p tcp --dport 53 -d 91.201.156.4 -j DROP
#-A FORWARD -p udp --dport 53 -d 91.201.156.4 -j DROP
#--------- Blokyvannya 1720, 445, 137 ----
#PrintShop
#-A FORWARD -s 192.168.185.240/255.255.255.240 -o eth1 -j DROP
#-A FORWARD -s 192.168.185.249 -o eth1 -j DROP
#-A FORWARD -s 192.168.185.249 -o eth1 -j ACCEPT
#PrintShop
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp --dport 1720 -j DROP
-A FORWARD -p tcp --sport 1720 -j DROP
-A FORWARD -p tcp --dport 445 -j DROP
-A FORWARD -p udp --dport 445 -j DROP
-A INPUT -p tcp --dport 445 -j DROP
-A INPUT -p udp --dport 445 -j DROP
-A OUTPUT -p tcp --dport 445 -j DROP
-A OUTPUT -p udp --dport 445 -j DROP
-A FORWARD -p tcp --dport 137 -j DROP
-A FORWARD -p udp --dport 137 -j DROP
-A INPUT -p tcp --dport 137 -j DROP
-A INPUT -p udp --dport 137 -j DROP
-A OUTPUT -p tcp --dport 137 -j DROP
-A OUTPUT -p udp --dport 137 -j DROP
-A INPUT -s 59.104.118.148 -j DROP
#--- VPN , GRE ---
-A INPUT -p gre -j ACCEPT
-A FORWARD -p gre -j ACCEPT
-A OUTPUT -p gre -j ACCEPT
-A FORWARD -p tcp --dport 1194 -j ACCEPT
-A FORWARD -p udp --dport 1194 -j ACCEPT
-A FORWARD -p tcp --sport 1194 -j ACCEPT
-A FORWARD -p udp --sport 1194 -j ACCEPT
-A FORWARD -m tcp -p tcp --sport 1723 -j ACCEPT
-A FORWARD -m tcp -p tcp --dport 1723 -j ACCEPT
-A FORWARD -p tcp --dport 2500 -j ACCEPT
-A FORWARD -p tcp --dport 8443 -j ACCEPT
-A FORWARD -p tcp --dport 443 -j ACCEPT
-A FORWARD -p udp --dport 443 -j ACCEPT
-A FORWARD -p tcp --sport 443 -j ACCEPT
-A FORWARD -p udp --sport 443 -j ACCEPT
-A FORWARD -p tcp --dport 587 -j ACCEPT
-A FORWARD -p udp --dport 587 -j ACCEPT
-A FORWARD -p tcp --dport 465 -j ACCEPT
#--- SSH ---
-A FORWARD -p tcp -d 91.201.156.237 --dport 22 -j ACCEPT
-A INPUT -s 192.168.180.32/255.255.255.240 -p tcp --dport 22 -j ACCEPT
-A INPUT -s 91.201.156.229 -p tcp --dport 22 -j ACCEPT
-A INPUT -s 78.89.99.117 -p tcp --dport 22 -j ACCEPT
-A INPUT -s 195.178.190.181 -p tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.171.1 -p tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.180.6 -p tcp --dport 22 -j ACCEPT
-A INPUT -s 195.178.190.165 -p tcp --dport 22 -j ACCEPT
-A INPUT -s 91.201.156.233 -p tcp --dport 22 -j ACCEPT
#-A INPUT -p tcp -m iprange --src-range 91.0.0.0-94.255.255.255 --dport 22 -j ACCEPT
-A INPUT -p udp -m multiport --dport 135,137,138,139 -j DROP
-A INPUT -p tcp --dport 139 -j DROP
-A INPUT -p tcp --dport 445 -j DROP
-A OUTPUT -p udp -m multiport --dport 135,137,138,139 -j DROP
-A OUTPUT -p tcp --dport 139 -j DROP
-A OUTPUT -p tcp --dport 445 -j DROP
####-A INPUT -s 91.0.0.0/255.0.0.0 -p tcp --dport 22 -j ACCEPT
####-A INPUT -s 92.0.0.0/255.0.0.0 -p tcp --dport 22 -j ACCEPT
####-A INPUT -s 94.0.0.0/255.0.0.0 -p tcp --dport 22 -j ACCEPT
-A INPUT -s 195.178.190.0/255.255.255.0 -p tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.180.32/255.255.255.240 -p tcp --dport 22 -j ACCEPT
-A INPUT -p tcp --dport 22 -j DROP
-A INPUT -p ALL -i lo -j ACCEPT
-A OUTPUT -p ALL -o lo -j ACCEPT
#--- MOSKOW ---
-A INPUT -i eth1 -s 193.169.4.0/23 -j DROP
#-A OUTPUT -o eth1 -d 193.169.4.0/23 -j DROP
-A FORWARD -s 193.169.4.0/23 -j DROP
-A FORWARD -d 193.169.4.0/23 -j DROP
-A FORWARD -s 193.169.4.0/255.255.254.0 -j DROP
#--- OTHER ---
-A FORWARD -p tcp -s 194.44.63.0/255.255.255.0 --dport 3306 -j ACCEPT
-A FORWARD -p udp -s 194.44.63.0/255.255.255.0 --dport 3306 -j ACCEPT
-A FORWARD -p tcp -s 91.201.156.237 --dport 3306 -j ACCEPT
-A FORWARD -p udp -s 91.201.156.237 --dport 3306 -j ACCEPT
-A FORWARD -p tcp --dport 3306 -j DROP
-A FORWARD -p udp --dport 3306 -j DROP
-A FORWARD -p tcp -m multiport --dport 135,136,137,138,139 -j DROP
-A FORWARD -p tcp --dport 139 -j DROP
-A FORWARD -p tcp -m multiport --dport 2601,2602,2603,2604,2605,2606 -j DROP
-A FORWARD -p tcp -m multiport --dport 1812,1813 -j DROP
-A FORWARD -p tcp -m multiport --dport 1645,1646 -j DROP
-A FORWARD -d 10.127.255.209 -j DROP
#--- SyncFlood ---
-A FORWARD -p tcp --syn -m limit --limit 15/minute -j ACCEPT
###LIMIT http session for each ip!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
###-A INPUT -p tcp -m state --state NEW --dport http -m iplimit --iplimit-above 5 -j DROP
#-A FORWARD -p tcp --dport 80 -m iplimit --iplimit-above 13 -j REJECT
-A INPUT -p tcp --syn --dport 80 -m iprange --src-range 91.0.0.0-94.0.0.0 -j ACCEPT
#-A INPUT -p tcp --syn --dport 80 -s 195.178.190.181 -j ACCEPT
#-A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 -j DROP
#-A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 2 -j DROP
-A INPUT -s 192.166.0.4 -p tcp --syn --dport 22 -j LOG
#-A INPUT ! -s 192.168.0.6/16 -p tcp --syn --dport 22 -m connlimit --connlimit-above 2 -j DROP
-A FORWARD -m iprange --src-range 192.168.0.1-192.168.0.10 -p tcp --dport 23 -m connlimit --connlimit-above 3 -j DROP
#-A FORWARD -s 195.178.190.181 -p tcp --dport 80 -m connlimit --connlimit-above 2 -j DROP
####ANTISCAN 139 ports
#-A FORWARD -m recent --name portscan --rcheck --seconds 300 -j DROP
-A FORWARD -p tcp -i eth0 --dport 139 -m recent --name portscan --set -j DROP
###LOVYSHKI!!!!!!!!!!!!!!!!!!!!!!!
#-A INPUT -p tcp -m tcp --dport 80 -j TARPIT
#-A INPUT -p tcp -m tcp -m mport --dports 135,139,1025 -j TARPIT
#### DIFFERENt
-A FORWARD -p tcp --syn -m connlimit --connlimit-above 450 -j REJECT
###-A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 15/minute -d any/0 -j QUEUE
###-A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j QUEUE
#-A FORWARD -p icmp -j DROP
#--- MAC -addrres ---
#-A FORWARD -s 192.168.0.4 -i eth0 -o eth1 -m mac --mac-source 00:02:44:50:67:B2 -j ACCEPT
#--------------------
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 23 -j DROP
#-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
#--- SMTP ---
-A FORWARD -s 195.178.190.181 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 195.178.190.9 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.184.109 -p tcp --dport 25 -j ACCEPT
-A FORWARD -d 192.168.184.109 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 195.178.190.218 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.186.13 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.187.225 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 195.178.190.233 -p tcp --dport 25 -j ACCEPT
-A FORWARD -d 195.178.190.233 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.173 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.186.1 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.187.149 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 195.178.190.153 -p tcp --dport 25 -j ACCEPT
-A FORWARD -d 195.178.190.153 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.187.217 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.186.141 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 195.178.190.129 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.187.173 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 91.201.156.233 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.186.145 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.186.146 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.65 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.180.44 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 195.178.190.201 -p tcp --dport 25 -j ACCEPT
-A FORWARD -d 195.178.190.201 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.183.153 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.180.37 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.100.0/24 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.213 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.186.181 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 195.178.190.173 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 195.178.190.193 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.187.225 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 195.178.190.169 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 195.178.190.170 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.183.37 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.193 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 195.178.190.165 -p tcp --dport 25 -j ACCEPT
-A FORWARD -d 195.178.190.165 -p tcp --dport 25 -j ACCEPT
-A FORWARD -d 195.178.190.149 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 91.201.156.229 -p tcp --dport 25 -j ACCEPT
-A FORWARD -d 91.201.156.229 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 195.178.190.241 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.183.25 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 195.178.190.149 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 195.178.190.140 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.25 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.183.129 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.183.157 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.179.5 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.186.29 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.89 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.90 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.91 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.92 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.93 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.94 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.95 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.96 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.186.149 -p tcp --dport 25 -j ACCEPT
-A FORWARD -p tcp --dport 25 -j DROP
#--- BGP ---
-A FORWARD -p tcp --dport 179 -j ACCEPT
-A FORWARD -p udp --dport 179 -j ACCEPT
-A FORWARD -p tcp --dport 953 -j ACCEPT
#-----------
#-A FORWARD -s 195.178.190.181 -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP
-A OUTPUT -p gre -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 23 -j DROP
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -p tcp --dport 25 -j ACCEPT
COMMIT
# Completed on Mon Sep  8 10:36:13 2008

[koshev]

отображаются ли в IFCONFIG отброшенніе пакеты файервола ?

Нет.

[AnrDaemon]

Вы видите разницу между

Код: [Выделить]

iptables-save -c

и

cat /etc/iptables-save

?

[TrEK]

Ещё раз:
1. Анализ настроек netfilter
2. Анализ задач, решаемых сервером.
3. Сравнение первого со вторым.
4. Возможно, коррекция первого под второе.
5. Возможно, коррекция настроек сетевой подсистемы второго под конкретные задачи.
6. Лог всего, что прорывается через первое и мешает работе второго. Фильтрация rsyslogd очень, очень полезна в этом.

Пакеты которые дропает iptables не будут отображаться в :

Код: [Выделить]

root@gate:/etc/stargazer# ifconfig eth1 && ifconfig eth0 && date
eth1      Link encap:Ethernet  HWaddr 00:1b:21:a1:f2:78
          inet addr:77.88.207.114  Bcast:77.88.207.119  Mask:255.255.255.248
          inet6 addr: fe80::21b:21ff:fea1:f278/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:11579856159 errors:0 dropped:23785549 overruns:0 frame:0
          TX packets:7882396092 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:13397261608138 (13.3 TB)  TX bytes:2163093568068 (2.1 TB)

eth0      Link encap:Ethernet  HWaddr 00:1b:21:a1:ef:e1
          inet addr:192.168.180.5  Bcast:192.168.180.7  Mask:255.255.255.252
          inet6 addr: fe80::21b:21ff:fea1:efe1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:8648972953 errors:2 dropped:1839753 overruns:0 frame:1
          TX packets:12204848639 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2259394753587 (2.2 TB)  TX bytes:13468635657202 (13.4 TB)

п'ятниця, 22 березня 2013 11:26:28 +0200
root@gate:/etc/stargazer# ifconfig eth1 && ifconfig eth0 && date
eth1      Link encap:Ethernet  HWaddr 00:1b:21:a1:f2:78
          inet addr:77.88.207.114  Bcast:77.88.207.119  Mask:255.255.255.248
          inet6 addr: fe80::21b:21ff:fea1:f278/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:11580062082 errors:0 dropped:23785789 overruns:0 frame:0
          TX packets:7882519105 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:13397512394301 (13.3 TB)  TX bytes:2163122452520 (2.1 TB)

eth0      Link encap:Ethernet  HWaddr 00:1b:21:a1:ef:e1
          inet addr:192.168.180.5  Bcast:192.168.180.7  Mask:255.255.255.252
          inet6 addr: fe80::21b:21ff:fea1:efe1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:8649099837 errors:2 dropped:1839753 overruns:0 frame:1
          TX packets:12205056745 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2259424269307 (2.2 TB)  TX bytes:13468887752211 (13.4 TB)

п'ятниця, 22 березня 2013 11:26:37 +0200
root@gate:/etc/stargazer# ifconfig eth1 && ifconfig eth0 && date
eth1      Link encap:Ethernet  HWaddr 00:1b:21:a1:f2:78
          inet addr:77.88.207.114  Bcast:77.88.207.119  Mask:255.255.255.248
          inet6 addr: fe80::21b:21ff:fea1:f278/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:11580304576 errors:0 dropped:23786155 overruns:0 frame:0
          TX packets:7882662183 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:13397808684625 (13.3 TB)  TX bytes:2163154099270 (2.1 TB)

eth0      Link encap:Ethernet  HWaddr 00:1b:21:a1:ef:e1
          inet addr:192.168.180.5  Bcast:192.168.180.7  Mask:255.255.255.252
          inet6 addr: fe80::21b:21ff:fea1:efe1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:8649247345 errors:2 dropped:1839753 overruns:0 frame:1
          TX packets:12205300322 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2259456661071 (2.2 TB)  TX bytes:13469185461935 (13.4 TB)

п'ятниця, 22 березня 2013 11:26:48 +0200
root@gate:/etc/stargazer# vnstat -l -i eth1
Monitoring eth1...    (press CTRL-C to stop)

   rx:   226.08 Mbit/s 24262 p/s          tx:    26.28 Mbit/s 14541 p/s^C


дроп происходит только на внешнем интерфейсе, в сторону провайдера... сетевые меняли местами... дроп продолжается на внешнем интерфейсе, и при чем уже другой сетевой, которая изначально смотрела в СЕТЬ.

а заключение о том что именно iptables валит пакеты, принято на основе кол-ва сброшенных пакетов в выводе ifconfig ?
и

Код: [Выделить]

iptables-save -c покажи

(Нажмите, чтобы показать/скрыть)

root@gate:/etc/stargazer# iptables-save -c
# Generated by iptables-save v1.4.12 on Sun Mar 24 17:39:30 2013
*filter
:INPUT ACCEPT [806376:49872107]
:FORWARD ACCEPT [4858732376:4192099014546]
:OUTPUT ACCEPT [37094676:8439574721]
[38092687:2619060040] -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
[2112:104336] -A INPUT -p tcp -m tcp --dport 445 -j DROP
[0:0] -A INPUT -p udp -m udp --dport 445 -j DROP
[0:0] -A INPUT -p tcp -m tcp --dport 137 -j DROP
[155:12090] -A INPUT -p udp -m udp --dport 137 -j DROP
[0:0] -A INPUT -s 59.104.118.148/32 -j DROP
[0:0] -A INPUT -p gre -j ACCEPT
[2:724] -A INPUT -s 192.168.180.32/28 -p tcp -m tcp --dport 22 -j ACCEPT
[0:0] -A INPUT -s 92.202156.229/32 -p tcp -m tcp --dport 22 -j ACCEPT
[0:0] -A INPUT -s 78.89.208.117/32 -p tcp -m tcp --dport 22 -j ACCEPT
[13:668] -A INPUT -s 194.187.180.181/32 -p tcp -m tcp --dport 22 -j ACCEPT
[0:0] -A INPUT -s 192.168.171.1/32 -p tcp -m tcp --dport 22 -j ACCEPT
[0:0] -A INPUT -s 192.168.180.6/32 -p tcp -m tcp --dport 22 -j ACCEPT
[0:0] -A INPUT -s 194.187.180.165/32 -p tcp -m tcp --dport 22 -j ACCEPT
[0:0] -A INPUT -s 92.202156.233/32 -p tcp -m tcp --dport 22 -j ACCEPT
[0:0] -A INPUT -p udp -m multiport --dports 135,137,138,139 -j DROP
[78:3848] -A INPUT -p tcp -m tcp --dport 139 -j DROP
[0:0] -A INPUT -p tcp -m tcp --dport 445 -j DROP
[0:0] -A INPUT -s 194.187.180.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
[0:0] -A INPUT -s 192.168.180.32/28 -p tcp -m tcp --dport 22 -j ACCEPT
[534:26516] -A INPUT -p tcp -m tcp --dport 22 -j DROP
[232774:13971913] -A INPUT -i lo -j ACCEPT
[0:0] -A INPUT -s 193.169.4.0/23 -i eth1 -j DROP
[212806:10993432] -A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m iprange --src-range 91.0.0.0-94.0.0.0 -j ACCEPT
[0:0] -A INPUT -s 192.166.0.4/32 -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG
[1:40] -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
[5679569:318471116] -A INPUT -p udp -m udp --dport 53 -j ACCEPT
[258:15208] -A INPUT -p tcp -m tcp --dport 23 -j DROP
[98:9016] -A INPUT -s 192.168.180.34/32 -j ACCEPT
[34:3128] -A INPUT -s 192.168.180.36/32 -j ACCEPT
[0:0] -A INPUT -s 192.168.180.35/32 -j ACCEPT
[0:0] -A INPUT -s 192.168.180.37/32 -j ACCEPT
[0:0] -A FORWARD -s 192.168.180.44/32 -d 194.187.228.121/32 -i eth0 -p icmp -j ACCEPT
[0:0] -A FORWARD -d 194.187.228.121/32 -i eth0 -p icmp -j REJECT --reject-with icmp-port-unreachable
[2889:169752] -A FORWARD -p tcp -m tcp --dport 1720 -j DROP
[43941:2163916] -A FORWARD -p tcp -m tcp --sport 1720 -j DROP
[203366:10159565] -A FORWARD -p tcp -m tcp --dport 445 -j DROP
[187:186091] -A FORWARD -p udp -m udp --dport 445 -j DROP
[36:1724] -A FORWARD -p tcp -m tcp --dport 137 -j DROP
[508840:40063432] -A FORWARD -p udp -m udp --dport 137 -j DROP
[1344634:355628810] -A FORWARD -p gre -j ACCEPT
[496489:488886833] -A FORWARD -p tcp -m tcp --dport 1194 -j ACCEPT
[39944:8147404] -A FORWARD -p udp -m udp --dport 1194 -j ACCEPT
[507742:117839299] -A FORWARD -p tcp -m tcp --sport 1194 -j ACCEPT
[49976:17464394] -A FORWARD -p udp -m udp --sport 1194 -j ACCEPT
[433403:32153164] -A FORWARD -p tcp -m tcp --sport 1723 -j ACCEPT
[506616:740043718] -A FORWARD -p tcp -m tcp --dport 1723 -j ACCEPT
[803712:1386701092] -A FORWARD -p tcp -m tcp --dport 2500 -j ACCEPT
[134722:40733798] -A FORWARD -p tcp -m tcp --dport 8443 -j ACCEPT
[147460230:38571191833] -A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT
[5217450:1425080095] -A FORWARD -p udp -m udp --dport 443 -j ACCEPT
[158150820:149931689548] -A FORWARD -p tcp -m tcp --sport 443 -j ACCEPT
[6359243:2063226642] -A FORWARD -p udp -m udp --sport 443 -j ACCEPT
[573498:796897426] -A FORWARD -p tcp -m tcp --dport 587 -j ACCEPT
[99:122496] -A FORWARD -p udp -m udp --dport 587 -j ACCEPT
[1270580:1073790952] -A FORWARD -p tcp -m tcp --dport 465 -j ACCEPT
[0:0] -A FORWARD -d 92.202156.237/32 -p tcp -m tcp --dport 22 -j ACCEPT
[3593:215349] -A FORWARD -s 193.169.4.0/23 -j DROP
[6991:407093] -A FORWARD -d 193.169.4.0/23 -j DROP
[0:0] -A FORWARD -s 193.169.4.0/23 -j DROP
[3:120] -A FORWARD -s 194.44.63.0/24 -p tcp -m tcp --dport 3306 -j ACCEPT
[0:0] -A FORWARD -s 194.44.63.0/24 -p udp -m udp --dport 3306 -j ACCEPT
[0:0] -A FORWARD -s 92.202156.237/32 -p tcp -m tcp --dport 3306 -j ACCEPT
[0:0] -A FORWARD -s 92.202156.237/32 -p udp -m udp --dport 3306 -j ACCEPT
[67894:3191114] -A FORWARD -p tcp -m tcp --dport 3306 -j DROP
[24539:2212237] -A FORWARD -p udp -m udp --dport 3306 -j DROP
[98712:4986612] -A FORWARD -p tcp -m multiport --dports 135,136,137,138,139 -j DROP
[0:0] -A FORWARD -p tcp -m tcp --dport 139 -j DROP
[272844:13175849] -A FORWARD -p tcp -m multiport --dports 2601,2602,2603,2604,2605,2606 -j DROP
[99662:4815530] -A FORWARD -p tcp -m multiport --dports 1812,1813 -j DROP
[102712:4958881] -A FORWARD -p tcp -m multiport --dports 1645,1646 -j DROP
[0:0] -A FORWARD -d 10.127.255.209/32 -j DROP
[216991:11036264] -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 15/min -j ACCEPT
[0:0] -A FORWARD -p tcp -m iprange --src-range 192.168.0.1-192.168.0.10 -m tcp --dport 23 -m connlimit --connlimit-above 3 --connlimit-mask 32 --connlimit-saddr -j DROP
[0:0] -A FORWARD -i eth0 -p tcp -m tcp --dport 139 -m recent --set --name portscan --rsource -j DROP
[16430498:825162152] -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 450 --connlimit-mask 32 --connlimit-saddr -j REJECT --reject-with icmp-port-unreachable
[0:0] -A FORWARD -s 194.187.180.181/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 194.187.180.9/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.184.109/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -d 192.168.184.109/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 194.187.180.218/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.186.13/32 -p tcp -m tcp --dport 25 -j ACCEPT
[49:2108] -A FORWARD -s 192.168.187.225/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 194.187.180.233/32 -p tcp -m tcp --dport 25 -j ACCEPT
[18:900] -A FORWARD -d 194.187.180.233/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.181.173/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.186.1/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.187.149/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 194.187.180.153/32 -p tcp -m tcp --dport 25 -j ACCEPT
[25:1212] -A FORWARD -d 194.187.180.153/32 -p tcp -m tcp --dport 25 -j ACCEPT
[37429:52980791] -A FORWARD -s 192.168.187.217/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.186.141/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 194.187.180.129/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.187.173/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 92.202156.233/32 -p tcp -m tcp --dport 25 -j ACCEPT
[271:136261] -A FORWARD -s 192.168.186.145/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.186.146/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.181.65/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.180.44/32 -p tcp -m tcp --dport 25 -j ACCEPT
[40368:49627720] -A FORWARD -s 194.187.180.201/32 -p tcp -m tcp --dport 25 -j ACCEPT
[258010:421742556] -A FORWARD -d 194.187.180.201/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.183.153/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.180.37/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.100.0/24 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.181.213/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.186.181/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 194.187.180.173/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 194.187.180.193/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.187.225/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 194.187.180.169/32 -p tcp -m tcp --dport 25 -j ACCEPT
[1:40] -A FORWARD -s 194.187.180.170/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.183.37/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.181.193/32 -p tcp -m tcp --dport 25 -j ACCEPT
[191694:13649299] -A FORWARD -s 194.187.180.165/32 -p tcp -m tcp --dport 25 -j ACCEPT
[191145:10751645] -A FORWARD -d 194.187.180.165/32 -p tcp -m tcp --dport 25 -j ACCEPT
[20:1004] -A FORWARD -d 194.187.180.149/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 92.202156.229/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -d 92.202156.229/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 194.187.180.241/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.183.25/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 194.187.180.149/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 194.187.180.140/32 -p tcp -m tcp --dport 25 -j ACCEPT
[23575:31286911] -A FORWARD -s 192.168.181.25/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.183.129/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.183.157/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.179.5/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.186.29/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.181.89/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.181.90/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.181.91/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.181.92/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.181.93/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.181.94/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.181.95/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.181.96/32 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A FORWARD -s 192.168.186.149/32 -p tcp -m tcp --dport 25 -j ACCEPT
[3474153:167145696] -A FORWARD -p tcp -m tcp --dport 25 -j DROP
[465223:24203260] -A FORWARD -p tcp -m tcp --dport 179 -j ACCEPT
[66:18410] -A FORWARD -p udp -m udp --dport 179 -j ACCEPT
[43:2162] -A FORWARD -p tcp -m tcp --dport 953 -j ACCEPT
[1326:138782] -A FORWARD -s 192.168.180.34/32 -j ACCEPT
[911:575450] -A FORWARD -d 192.168.180.34/32 -j ACCEPT
[584:130220] -A FORWARD -s 192.168.180.36/32 -j ACCEPT
[472:685108] -A FORWARD -d 192.168.180.36/32 -j ACCEPT
[0:0] -A FORWARD -s 192.168.180.35/32 -j ACCEPT
[0:0] -A FORWARD -d 192.168.180.35/32 -j ACCEPT
[321900:62297597] -A FORWARD -s 192.168.180.37/32 -j ACCEPT
[94465:8703958] -A FORWARD -d 192.168.180.37/32 -j ACCEPT
[1:40] -A OUTPUT -p tcp -m tcp --dport 445 -j DROP
[50:2800] -A OUTPUT -p udp -m udp --dport 445 -j DROP
[0:0] -A OUTPUT -p tcp -m tcp --dport 137 -j DROP
[68:3808] -A OUTPUT -p udp -m udp --dport 137 -j DROP
[0:0] -A OUTPUT -p gre -j ACCEPT
[225:12600] -A OUTPUT -p udp -m multiport --dports 135,137,138,139 -j DROP
[0:0] -A OUTPUT -p tcp -m tcp --dport 139 -j DROP
[0:0] -A OUTPUT -p tcp -m tcp --dport 445 -j DROP
[1872178:147675619] -A OUTPUT -o lo -j ACCEPT
[1:40] -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
[22378:1392512] -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
[0:0] -A OUTPUT -p gre -j ACCEPT
[0:0] -A OUTPUT -p tcp -m tcp --sport 23 -j DROP
[15:600] -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
[2:92] -A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
[23050:2120600] -A OUTPUT -d 192.168.180.34/32 -j ACCEPT
[22872:2104224] -A OUTPUT -d 192.168.180.36/32 -j ACCEPT
[22862:2103304] -A OUTPUT -d 192.168.180.35/32 -j ACCEPT
[23295:2138622] -A OUTPUT -d 192.168.180.37/32 -j ACCEPT
COMMIT
# Completed on Sun Mar 24 17:39:30 2013
# Generated by iptables-save v1.4.12 on Sun Mar 24 17:39:30 2013
*mangle
:PREROUTING ACCEPT [4943614292:4228081857691]
:INPUT ACCEPT [19683958:1050377641]
:FORWARD ACCEPT [4922432704:4226913606354]
:OUTPUT ACCEPT [37586195:8479468469]
:POSTROUTING ACCEPT [4954529610:4235115612013]
[933:586108] -A FORWARD -d 192.168.180.34/32 -j MARK --set-xmark 0x66/0xffffffff
[1350:142023] -A FORWARD -s 192.168.180.34/32 -j MARK --set-xmark 0x1006/0xffffffff
[2122:2566182] -A FORWARD -d 192.168.180.36/32 -j MARK --set-xmark 0x67/0xffffffff
[1831:336211] -A FORWARD -s 192.168.180.36/32 -j MARK --set-xmark 0x1007/0xffffffff
[0:0] -A FORWARD -d 192.168.180.35/32 -j MARK --set-xmark 0x68/0xffffffff
[0:0] -A FORWARD -s 192.168.180.35/32 -j MARK --set-xmark 0x1008/0xffffffff
[96929:10157025] -A FORWARD -d 192.168.180.37/32 -j MARK --set-xmark 0x69/0xffffffff
[323939:63065227] -A FORWARD -s 192.168.180.37/32 -j MARK --set-xmark 0x1009/0xffffffff
COMMIT
# Completed on Sun Mar 24 17:39:30 2013
# Generated by iptables-save v1.4.12 on Sun Mar 24 17:39:30 2013
*nat
:PREROUTING ACCEPT [698048656:55728966529]
:INPUT ACCEPT [3357754:177536793]
:OUTPUT ACCEPT [272540:16566289]
:POSTROUTING ACCEPT [222547426:18883694819]
[2:96] -A PREROUTING -d 194.187.180.185/32 -p tcp -m tcp --dport 8291 -j DNAT --to-destination 192.168.181.90:8291
[211:11092] -A PREROUTING -d 194.187.180.254/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.180.189:80
[236:11352] -A PREROUTING -d 194.187.180.185/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.180.44:3389
[0:0] -A PREROUTING -d 194.187.180.185/32 -p tcp -m tcp --dport 81 -j DNAT --to-destination 192.168.170.209:80
[0:0] -A PREROUTING -d 194.187.180.185/32 -p tcp -m tcp --dport 82 -j DNAT --to-destination 192.168.170.213:80
[1:48] -A PREROUTING -d 194.187.180.185/32 -p tcp -m tcp --dport 37254 -j DNAT --to-destination 192.168.186.201:37254
[17:912] -A PREROUTING -d 194.187.180.186/32 -p tcp -m tcp --dport 15448 -j DNAT --to-destination 192.168.180.36:15448
[477953:25050087] -A PREROUTING -d 194.187.180.186/32 -p tcp -m tcp --dport 15449 -j DNAT --to-destination 192.168.180.44:15449
[2:96] -A POSTROUTING -d 192.168.181.90/32 -p tcp -m tcp --dport 8291 -j SNAT --to-source 192.168.180.5
[0:0] -A POSTROUTING -d 192.168.180.189/32 -p udp -m udp --dport 80 -j SNAT --to-source 192.168.180.5
[236:11352] -A POSTROUTING -d 192.168.180.44/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 192.168.180.5
[0:0] -A POSTROUTING -d 192.168.170.209/32 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.180.5
[0:0] -A POSTROUTING -d 192.168.170.213/32 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.180.5
[1:48] -A POSTROUTING -d 192.168.186.201/32 -p tcp -m tcp --dport 37254 -j SNAT --to-source 192.168.180.5
[17:912] -A POSTROUTING -d 192.168.180.36/32 -p tcp -m tcp --dport 15448 -j SNAT --to-source 194.187.180.186
[477741:25039175] -A POSTROUTING -d 192.168.180.44/32 -p tcp -m tcp --dport 15449 -j SNAT --to-source 194.187.180.186
[4682566:243220967] -A POSTROUTING -s 192.168.171.0/24 -o eth1 -p tcp -m tcp --dport 80 -j SNAT --to-source 194.187.180.254
[19681:944688] -A POSTROUTING -s 192.168.180.44/32 -o eth1 -p tcp -m tcp --dport 80 -j SNAT --to-source 194.187.180.37
[293978:16966953] -A POSTROUTING -s 192.168.184.85/32 -o eth1 -p tcp -m tcp --dport 80 -j SNAT --to-source 194.187.180.85
[0:0] -A POSTROUTING -s 192.168.180.42/32 -o eth1 -p tcp -m tcp --dport 80 -j SNAT --to-source 194.187.180.183
[0:0] -A POSTROUTING -s 192.168.179.201/32 -o eth1 -p tcp -m tcp --dport 80 -j SNAT --to-source 194.187.180.187
[0:0] -A POSTROUTING -s 192.168.180.32/28 -o eth1 -p tcp -m tcp --dport 25 -j SNAT --to-source 194.187.180.187
[3910667:310745072] -A POSTROUTING -s 192.168.180.32/28 -o eth1 -j SNAT --to-source 194.187.180.186
[441322526:34970631468] -A POSTROUTING -s 192.168.0.0/16 -o eth1 -j SNAT --to-source 194.187.180.188
[0:0] -A POSTROUTING -s 92.202156.229/32 -o eth1 -j SNAT --to-source 194.187.180.185
COMMIT
# Completed on Sun Mar 24 17:39:30 2013
root@gate:/etc/stargazer#

[xeon_greg]

уфф. да тут черт ногу сломит. не проще ли задать политики в таблицах DROP , и потом разрешать что нужно, а не городить такой огород, да и раскидать правила по кастомным цепочкам, было бы удобнее кмк. сброшенные пакеты в ifconfig - это не пакеты сброшенные Iptables, это пакеты пришедшие с разного рода ошибками, и поэтому сброшенные на самом интерфейсе, причин может быть много, слишком много соединений(такое иногда возникает из-за торрентов), умирает сетевушка, проблема в кабеле и тд

[TrEK]

уфф. да тут черт ногу сломит. не проще ли задать политики в таблицах DROP , и потом разрешать что нужно, а не городить такой огород, да и раскидать правила по кастомным цепочкам, было бы удобнее кмк. сброшенные пакеты в ifconfig - это не пакеты сброшенные Iptables, это пакеты пришедшие с разного рода ошибками, и поэтому сброшенные на самом интерфейсе, причин может быть много, слишком много соединений(такое иногда возникает из-за торрентов), умирает сетевушка, проблема в кабеле и тд

посоветуйте с чего начать ?.... потмоу что на Циске, в которую включен тот порт где дропі пакетов.... там нету отброшенніх .. все проходят.. исходя из этого исключаю проблему с кабелем, потмоу как думаю что на интерфейсе циски были те же дропы...