iptables Ubuntu Server 10.04

[Justbox]

Всем привет !
Счас делаю сервер доступа и использую как Вы уже догадались IPTABLES =)
Мне нужно пускать в офис много хостов по определенным портам ,ВПН не предлагать !
Вот пример моего скрипта :

(Нажмите, чтобы показать/скрыть)

#!/bin/sh -e
# Start/stop/restart the iptables
#
# Configuration options.
#

IP_0_2="XXX.31.XXX.24"
IFACE_0_2="eth0"
NETWORK_0_2="XXX.20.XXX.16/28"

IP_0_3="192.168.1.254"
IFACE_0_3="eth1"
NETWORK_0_3="255.255.255.0/24"

#
Shops="89.20.132.10/32,208.67.202.13/32,итд."
Shops_ports="22,3389,3128"

# Localhost Configuration.

LO_IFACE="lo"
LO_IP="127.0.0.1"

# IPTables Configuration.

IPTABLES="/sbin/iptables"

fr_start() {
 
    ##################
    #                #
    # Module loading #
    #                #
    ##################
    /sbin/depmod -a
    /sbin/modprobe iptable_filter
    /sbin/modprobe ipt_limit
    /sbin/modprobe ipt_state
    /sbin/modprobe ip_gre
    /sbin/modprobe ip_nat_pptp
    /sbin/modprobe iptable_nat
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_nat_ftp
    /sbin/modprobe ip_nat_tftp
    /sbin/modprobe ip_conntrack_tftp
    ################
    #              #
    # /proc set up #
    #              #
    ################

    echo 1 > /proc/sys/net/ipv4/ip_forward
    echo 1 > /proc/sys/net/ipv4/ip_dynaddr

    ###############
    #             #
    # Clean rules #
    #             #
    ###############

    $IPTABLES -F
    $IPTABLES -t nat -F

    $IPTABLES -X
    $IPTABLES -t nat -X

    ################
    #              #
    # Filter table #
    #              #
    ################

    ###############
    #             #
    # Set policies#
    ###############

    $IPTABLES -P INPUT DROP
    $IPTABLES -P OUTPUT ACCEPT
    $IPTABLES -P FORWARD DROP

    ###################################
    #                                 #
    # Create chain for bad tcp packets#
    ###################################

    $IPTABLES -N bad_tcp_packets

    ###########################################################
    #                                                         #
    # Create separate chains for ICMP, TCP and UDP to traverse#
    ###########################################################

    $IPTABLES -N allowed
    $IPTABLES -N tcp_packets
    $IPTABLES -N udp_packets

    $IPTABLES -N icmp_packets

    ########################
    #                      #
    # bad_tcp_packets chain#
    ########################

    $IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
    $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

    ################
    #              #
    # allowed chain#
    ################

    $IPTABLES -A allowed -p TCP --syn -j ACCEPT
    $IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPTABLES -A allowed -p TCP -j DROP

    ####################
    #                  #
    # tcp_packets chain#
    #                  #
    ####################

    ##########################################################################
    #                       OPEN PORT'S                                      #
    #                                                                        #
    ##########################################################################

    $IPTABLES -A tcp_packets -p TCP -s $Shops -m multiport --dport $Shops_ports -j allowed

Хочу чтобы работали правила которые выделил жирным ! Помогите разобраться что я делаю не так просто не хочется для каждого хоста создавать строку =(

Заранее благодарен !

[AnrDaemon]

Сама логика скрипта ушибленная...
Почитай документацию, там подробно расписано, как iptables работает. Твои хотения к его работе мало отношения имеют.

[Justbox]

Вот и началось ! Почему я в фре могу это сделать а тут нет !?
Хочу описать что для 20 магазинов нужно открыть 100 портов одной строкой вчем проблема ?

[bubuntu-ru]

Вот поигрался вроде нет проблем
$IPT -A INPUT -p TCP -s $Shops -m multiport --dports $Shops_ports -j ACCEPT #  стиль автора сохранен, только нет тсп_пакет

-A INPUT -s 89.20.132.10/32 -p tcp -m multiport --dports 22,3389,3128 -j ACCEPT
-A INPUT -s 208.67.202.13/32 -p tcp -m multiport --dports 22,3389,3128 -j ACCEPT
Ну и сам скрипт конечно термоядерный . Зачем столько замен. Зачем столько своих цепочек.