Проброс портов для IRC

[InkVisitor]

В локальной сети стоит IRC-сервер (192.168.2.6).
Инет идёт через шлюз (ADSL-DHCP, 192.168.2.1). Раздача инета через iptables.
Не могу пробросить порты для входа на IRC снаружи. Так как IP раздаётся динамически, использую текущее значение IP (потом скриптом буду вытягивать и в iptables подставлять). То есть в какой-то момент времени можно считать, что внешний IP статичный (или нельзя?)
Например внешний IP 94.179.111.111, IP IRC-сервера 192.168.2.6
В iptables добавляю правила

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -d 94.179.111.111 --dport 6667 -j DNAT --to-destination 192.168.2.6:6667
iptables -A FORWARD -i ppp0 -d 192.168.2.6 -p tcp --dport 6667 -j ACCEPT

Не работает.
Вычитал на каком-то сайте (уже и не вспомню, на каком)

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -d 94.179.111.111 --dport 6667 -j DNAT --to-destination 192.168.2.6:6667
iptables -t nat -A POSTROUTING -p tcp -d 192.168.2.6 --dport 6667 -j SNAT --to-source 94.179.111.111
iptables -t nat -A POSTROUTING -p tcp -s 192.168.2.6 --sport 6667 -j SNAT --to-source 94.179.111.111:6667
iptables -t nat -A OUTPUT --dst 94.179.111.111 -p tcp --dport 6667 -j DNAT --to-destination 192.168.2.6:6667
Не работает.
Причём во всех случаях пакеты идут ТОЛЬКО по первому правилу

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -d 94.179.111.111 --dport 6667 -j DNAT --to-destination 192.168.2.6:6667

Пробовал менять входящие порты

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -d 94.179.111.111 --dport 26667 -j DNAT --to-destination 192.168.2.6:6667

и подключаться на него из клиента - то же самое.
То есть, я так понимаю, к серверу они доходят. А ждать ответа - как соловей лета.
Вопрос - почему? И как это решить?

P.S. Инет в локалку раздаётся через маскарад. Может здесь собака зарыта? Дружит ли ADSL c DNAT?

[Mam(O)n]

Код: [Выделить]

ifconfig -a
sudo iptables-save
под спойлер просим

[Unreg]

https://forum.ubuntu.ru/index.php?topic=118361.msg877310#msg877310
+
# the module for full irc connection tracking
modprobe ip_conntrack_irc

[InkVisitor]

ifconfig -a шлюза (192.168.2.1)

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:15:8a:00:82:4b  
          inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::215:8aff:fe00:824b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5857886 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4006546 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2385843345 (2.2 GB)  TX bytes:560391482 (534.4 MB)
          Interrupt:16 Base address:0xd800

eth1      Link encap:Ethernet  HWaddr 00:e0:4c:19:03:cc  
          inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::2e0:4cff:fe19:3cc/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4286533 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5992702 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:559650270 (533.7 MB)  TX bytes:2608550660 (2.4 GB)
          Interrupt:17 Base address:0xd400

eth1:0    Link encap:Ethernet  HWaddr 00:e0:4c:19:03:cc  
          inet addr:192.168.0.10  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:17 Base address:0xd400

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1098 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1098 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:137788 (134.5 KB)  TX bytes:137788 (134.5 KB)

ppp0      Link encap:Point-to-Point Protocol  
          inet addr:94.178.111.111  P-t-P:195.5.5.202  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:1311213 errors:0 dropped:0 overruns:0 frame:0
          TX packets:957081 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:1527007486 (1.4 GB)  TX bytes:116768410 (111.3 MB)

sudo iptables-save шлюза (192.168.2.1)

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.3.8 on Wed Oct 20 20:46:27 2010
*nat
:PREROUTING ACCEPT [159259:10744212]
:POSTROUTING ACCEPT [317206:21558004]
:OUTPUT ACCEPT [323722:22098646]
-A PREROUTING -d 94.178.111.111 -p tcp -m tcp --dport 6667 -j DNAT --to-destination 192.168.2.6:6667
-A PREROUTING -s 192.168.2.4 -d ! 192.168.2.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.1:3128
-A PREROUTING -s 192.168.2.2 -d ! 192.168.2.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.1:3128
-A PREROUTING -s 192.168.2.3 -d ! 192.168.2.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.1:3128
-A PREROUTING -s 192.168.2.5 -d ! 192.168.2.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.1:3128
-A PREROUTING -s 192.168.2.6 -d ! 192.168.2.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A PREROUTING -d ! 192.168.2.0/255.255.255.0 -i eth1 -p tcp -m iprange --src-range 192.168.2.11-192.168.2.29 -m tcp --dport 80 -j DNAT --to-destination 192.168.2.1:3128
-A PREROUTING -s 192.168.2.44 -d ! 192.168.2.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.1:3128
-A PREROUTING -d ! 192.168.2.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 80 -j DROP
-A POSTROUTING -d 192.168.2.6 -p tcp -m tcp --dport 6667 -j SNAT --to-source 94.178.60.21
-A POSTROUTING -s 192.168.2.6 -p tcp -m tcp --sport 6667 -j SNAT --to-source 94.178.60.21:6667
-A POSTROUTING -s 192.168.2.6 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.2.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A OUTPUT -d 94.178.60.21 -p tcp -m tcp --dport 6666:6667 -j DNAT --to-destination 192.168.2.6:6667
COMMIT
# Completed on Wed Oct 20 20:46:27 2010
# Generated by iptables-save v1.3.8 on Wed Oct 20 20:46:27 2010
*mangle
:PREROUTING ACCEPT [9813344:7029312698]
:INPUT ACCEPT [8704307:6374638784]
:FORWARD ACCEPT [1105113:653754387]
:OUTPUT ACCEPT [8918404:6637822168]
:POSTROUTING ACCEPT [9978341:7290621250]
COMMIT
# Completed on Wed Oct 20 20:46:27 2010
# Generated by iptables-save v1.3.8 on Wed Oct 20 20:46:27 2010
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [5:1524]
-A INPUT -i lo -j ACCEPT
-A INPUT -i ppp0 -p icmp -j ACCEPT
-A INPUT -i eth1 -p icmp -j ACCEPT
-A INPUT -s 192.168.2.2 -d 192.168.2.1 -i eth1 -p tcp -m multiport --dports 137,138,139,445 -j ACCEPT
-A INPUT -s 192.168.2.2 -d 192.168.2.1 -i eth1 -p udp -m multiport --dports 137,138,139,445 -j ACCEPT
-A INPUT -s 192.168.2.4 -d 192.168.2.1 -i eth1 -p tcp -m multiport --dports 137,138,139,445 -j ACCEPT
-A INPUT -s 192.168.2.4 -d 192.168.2.1 -i eth1 -p udp -m multiport --dports 137,138,139,445 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 80 -j ACCEPT
-A INPUT -i ppp0 -p udp -m multiport --dports 137,138 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -s 192.168.2.0/255.255.255.0 -d 192.168.2.1 -i eth1 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i ppp0 -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -i ppp0 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -d 192.168.2.6 -i ppp0 -p tcp -m tcp --dport 6667 -j ACCEPT
-A FORWARD -s 192.168.2.6 -p tcp -j ACCEPT
-A FORWARD -s 192.168.2.0/255.255.255.0 -d ! 192.168.2.0/255.255.255.0 -i eth1 -o ppp0 -p icmp -j ACCEPT
-A FORWARD -s ! 192.168.2.0/255.255.255.0 -d 192.168.2.0/255.255.255.0 -i ppp0 -o eth1 -p icmp -j ACCEPT
-A FORWARD -s 192.168.2.6 -d ! 192.168.2.0/255.255.255.0 -i eth1 -o ppp0 -p tcp -m multiport --dports 80,443,5190,25,465,110,995,5222 -j ACCEPT
-A FORWARD -s ! 192.168.2.0/255.255.255.0 -d 192.168.2.6 -i ppp0 -o eth1 -p tcp -m multiport --sports 80,443,5190,25,465,110,995,5222 -j ACCEPT
-A FORWARD -d ! 192.168.2.0/255.255.255.0 -i eth1 -o ppp0 -p tcp -m iprange --src-range 192.168.2.2-192.168.2.4 -m multiport --dports 443,5190,25,465,110,995,5222 -j ACCEPT
-A FORWARD -s ! 192.168.2.0/255.255.255.0 -i ppp0 -o eth1 -p tcp -m iprange --dst-range 192.168.2.2-192.168.2.4 -m multiport --sports 443,5190,25,465,110,995,5222 -j ACCEPT
-A FORWARD -s 192.168.2.5 -d ! 192.168.2.0/255.255.255.0 -i eth1 -o ppp0 -p tcp -m multiport --dports 80,443,5190,25,465,110,995,5222 -j ACCEPT
-A FORWARD -s ! 192.168.2.0/255.255.255.0 -d 192.168.2.5 -i ppp0 -o eth1 -p tcp -m multiport --sports 80,443,5190,25,465,110,995,5222 -j ACCEPT
-A FORWARD -d ! 192.168.2.0/255.255.255.0 -i eth1 -o ppp0 -p tcp -m iprange --src-range 192.168.2.11-192.168.2.29 -m multiport --dports 443,5190,25,465,110,995,5222 -j ACCEPT
-A FORWARD -s ! 192.168.2.0/255.255.255.0 -i ppp0 -o eth1 -p tcp -m iprange --dst-range 192.168.2.11-192.168.2.29 -m multiport --sports 443,5190,25,465,110,995,5222 -j ACCEPT
-A FORWARD -s 192.168.2.44 -d ! 192.168.2.0/255.255.255.0 -i eth1 -o ppp0 -p tcp -m multiport --dports 80,443,5190,25,465,110,995,5222 -j ACCEPT
-A FORWARD -s ! 192.168.2.0/255.255.255.0 -d 192.168.2.44 -i ppp0 -o eth1 -p tcp -m multiport --sports 80,443,5190,25,465,110,995,5222 -j ACCEPT
-A FORWARD -s 192.168.2.0/255.255.255.0 -d ! 192.168.2.0/255.255.255.0 -i eth1 -o ppp0 -j DROP
-A FORWARD -s ! 192.168.2.0/255.255.255.0 -d 192.168.2.0/255.255.255.0 -i ppp0 -o eth1 -j DROP
-A FORWARD -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o ppp0 -p icmp -j ACCEPT
-A OUTPUT -d 192.168.2.0/255.255.255.0 -o eth1 -p icmp -j ACCEPT
-A OUTPUT -s 192.168.2.1 -d 192.168.2.2 -o eth1 -p tcp -m multiport --sports 137,138,139,445 -j ACCEPT
-A OUTPUT -s 192.168.2.1 -d 192.168.2.2 -o eth1 -p udp -m multiport --sports 137,138,139,445 -j ACCEPT
-A OUTPUT -s 192.168.2.1 -d 192.168.2.4 -o eth1 -p tcp -m multiport --sports 137,138,139,445 -j ACCEPT
-A OUTPUT -s 192.168.2.1 -d 192.168.2.4 -o eth1 -p udp -m multiport --sports 137,138,139,445 -j ACCEPT
-A OUTPUT -o ppp0 -p udp -m multiport --dports 53,123 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m multiport --dports 21,81,83,85,86,89,92 -j ACCEPT
-A OUTPUT -o eth1 -p udp -m multiport --dports 53,123 -j ACCEPT
-A OUTPUT -o ppp0 -j DROP
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -j DROP
COMMIT

Выкинул правила, касающиеся сети 192.168.0.0/24, дабы не захламлять.

Пакеты на IRC-сервер (192.168.2.6) проходят

(Нажмите, чтобы показать/скрыть)

sudo tcpdump -ni eth1 host 192.168.2.6 and tcp port 6667
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
20:20:29.284875 IP 94.178.111.111.39281 > 192.168.2.6.6667: S 798866860:798866860(0) win 5840 <mss 1452,sackOK,timestamp 1046548 0,nop,wscale 6>
20:20:35.440030 IP 94.178.111.111.39281 > 192.168.2.6.6667: S 798866860:798866860(0) win 5840 <mss 1452,sackOK,timestamp 1048048 0,nop,wscale 6>
20:20:57.297361 IP 94.178.111.111.60086 > 192.168.2.6.6667: S 1299710949:1299710949(0) win 5840 <mss 1452,sackOK,timestamp 1053550 0,nop,wscale 6>
20:21:00.338439 IP 94.178.111.111.60086 > 192.168.2.6.6667: S 1299710949:1299710949(0) win 5840 <mss 1452,sackOK,timestamp 1054300 0,nop,wscale 6>
20:21:06.212836 IP 94.178.111.111.60086 > 192.168.2.6.6667: S 1299710949:1299710949(0) win 5840 <mss 1452,sackOK,timestamp 1055800 0,nop,wscale 6>
20:21:28.231926 IP 94.178.111.111.60087 > 192.168.2.6.6667: S 1790195346:1790195346(0) win 5840 <mss 1452,sackOK,timestamp 1061302 0,nop,wscale 6>

Таблица маршрутизации 192.168.2.6

(Нажмите, чтобы показать/скрыть)

route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.2.0     *               255.255.255.0   U     1      0        0 eth0
192.168.0.0     *               255.255.255.0   U     1      0        0 eth1
link-local      *               255.255.0.0     U     1000   0        0 eth0
default         192.168.2.1     0.0.0.0         UG    0      0        0 eth0

[Mam(O)n]

В таблицах iptables конечно тихий ужас, но судя по тому, что

Пакеты на IRC-сервер (192.168.2.6) проходят

копать надо в другом месте. На самом 192.168.2.6 пакеты ловятся tcpdump'ом? На нем файролы чисты? Порт вообще обслуживается кем-либо?

[Unreg]

да, действительно, количество дублированных правил велико

InkVisitor, попробуйте

# Generated by iptables-save v1.3.8 on Wed Oct 20 20:46:27 2010
*nat
:PREROUTING ACCEPT [159259:10744212]
:POSTROUTING ACCEPT [317206:21558004]
:OUTPUT ACCEPT [323722:22098646]
-A PREROUTING -p tcp -m tcp --dport 6667 -j DNAT --to-destination 192.168.2.6:6667
-A PREROUTING -s 192.168.2.4 -d ! 192.168.2.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.1:3128   
-A POSTROUTING -s 192.168.2.0/255.255.255.0 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Wed Oct 20 20:46:27 2010
# Generated by iptables-save v1.3.8 on Wed Oct 20 20:46:27 2010
*mangle
:PREROUTING ACCEPT [9813344:7029312698]
:INPUT ACCEPT [8704307:6374638784]
:FORWARD ACCEPT [1105113:653754387]
:OUTPUT ACCEPT [8918404:6637822168]
:POSTROUTING ACCEPT [9978341:7290621250]
COMMIT
# Completed on Wed Oct 20 20:46:27 2010
# Generated by iptables-save v1.3.8 on Wed Oct 20 20:46:27 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT

[InkVisitor]

2 Mam(O)n
На самом 192.168.2.6 пакеты ловятся tcpdump'ом

(Нажмите, чтобы показать/скрыть)

sudo tcpdump -ni eth0 tcp port 6667
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
23:28:48.665006 IP 94.178.111.222.45948 > 192.168.2.6.6667: S 2172837273:2172837273(0) win 5840 <mss 1452,sackOK,timestamp 3875113 0,nop,wscale 6>
23:28:51.670790 IP 94.178.111.222.45948 > 192.168.2.6.6667: S 2172837273:2172837273(0) win 5840 <mss 1452,sackOK,timestamp 3875863 0,nop,wscale 6>
23:28:57.664296 IP 94.178.111.222.45948 > 192.168.2.6.6667: S 2172837273:2172837273(0) win 5840 <mss 1452,sackOK,timestamp 3877363 0,nop,wscale 6>

На нем файролы чисты

(Нажмите, чтобы показать/скрыть)

-A INPUT -j ACCEPT
-A OUTPUT -j ACCEPT

Порт обслуживается

(Нажмите, чтобы показать/скрыть)

nmap 192.168.2.6 -p 6000-6999

Starting Nmap 4.53 ( http://insecure.org ) at 2010-10-20 23:39 EEST
Interesting ports on 192.168.2.6:
Not shown: 999 closed ports
PORT     STATE SERVICE
6667/tcp open  irc

Nmap done: 1 IP address (1 host up) scanned in 0.694 seconds

В локальной сети чат работает нормально.

2 Unreg
Это, я так понял не нужно

Код: [Выделить]

-A PREROUTING -s 192.168.2.4 -d ! 192.168.2.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.1:3128 

Эти поставил (уже не впервой - по ссылкам ходил)

Код: [Выделить]

-A PREROUTING -p tcp -m tcp --dport 6667 -j DNAT --to-destination 192.168.2.6:6667
-A POSTROUTING -s 192.168.2.0/255.255.255.0 -o ppp0 -j MASQUERADE
Ничего не изменилось. Пакеты ходят - сервер не коннектит...

Насчёт дублей - идёт постоянное ковыряние в шлюзе. И, это такой творческий беспорядок  Когда-нибуть соберусь - наведу порядок.

[Mam(O)n]

-A INPUT -j ACCEPT
-A OUTPUT -j ACCEPT

sudo iptables-save нужно смотреть.
Пользователь решил продолжить мысль 21 Октября 2010, 00:48:09:И контрольный sudo netstat -ntlp

[Unreg]

$ sudo modprobe ip_conntrack_irc
мало ли...

[InkVisitor]

sudo iptables-save сервера (192.168.2.6)

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.1.1 on Wed Oct 20 23:52:38 2010
*mangle
:PREROUTING ACCEPT [5334696:4909569726]
:INPUT ACCEPT [5331641:4909189581]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5297454:5174748207]
:POSTROUTING ACCEPT [5297930:5174433744]
COMMIT
# Completed on Wed Oct 20 23:52:38 2010
# Generated by iptables-save v1.4.1.1 on Wed Oct 20 23:52:38 2010
*nat
:PREROUTING ACCEPT [75571:6208123]
:POSTROUTING ACCEPT [2470:242283]
:OUTPUT ACCEPT [2533:254090]
-A PREROUTING -s 192.168.0.0/24 -d ! 192.168.0.0/24 -i eth1 -j DNAT --to-destination 192.168.0.50
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Oct 20 23:52:38 2010
# Generated by iptables-save v1.4.1.1 on Wed Oct 20 23:52:38 2010
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [5:980]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -d 192.168.2.6/32 -i eth0 -j ACCEPT
-A INPUT -j ACCEPT
-A FORWARD -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -s 192.168.2.6/32 -o eth0 -m iprange --dst-range 192.168.2.1-192.168.2.23 -j ACCEPT
-A OUTPUT -s 192.168.2.6/32 -d 192.168.2.44/32 -o eth0 -j ACCEPT
-A OUTPUT -s 192.168.2.6/32 -o eth0 -j DROP
-A OUTPUT -j ACCEPT
COMMIT

Что-то непонятно, откуда 32-я маска сети взялась... Я её не ставил...

sudo netstat -ntlp  сервера (192.168.2.6)

(Нажмите, чтобы показать/скрыть)

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:8067            0.0.0.0:*               LISTEN      8485/ircd      
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      2469/mysqld    
tcp        0      0 0.0.0.0:4554            0.0.0.0:*               LISTEN      2368/sshd      
tcp        0      0 0.0.0.0:6667            0.0.0.0:*               LISTEN      8485/ircd      
tcp        0      0 127.0.0.1:1234          0.0.0.0:*               LISTEN      8485/ircd      
tcp        0      0 192.168.0.50:53         0.0.0.0:*               LISTEN      2341/named      
tcp        0      0 192.168.2.6:53          0.0.0.0:*               LISTEN      2341/named      
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      2341/named      
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      3134/cupsd      
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      2341/named      
tcp6       0      0 :::4554                 :::*                    LISTEN      2368/sshd      
tcp6       0      0 :::139                  :::*                    LISTEN      2831/smbd      
tcp6       0      0 :::80                   :::*                    LISTEN      3315/apache2    
tcp6       0      0 :::53                   :::*                    LISTEN      2341/named      
tcp6       0      0 ::1:631                 :::*                    LISTEN      3134/cupsd      
tcp6       0      0 ::1:953                 :::*                    LISTEN      2341/named      
tcp6       0      0 :::443                  :::*                    LISTEN      3315/apache2    
tcp6       0      0 :::445                  :::*                    LISTEN      2831/smbd  

2 Unreg
sudo modprobe ip_conntrack_irc - сделал - не помогло.
Да я и и в скрипт файрвола воткнул

Код: [Выделить]

# the module for full irc connection tracking
/sbin/modprobe ip_conntrack_irc


[Mam(O)n]

/32 маска автоматом подставляется.

А рубится у тебя там в OUTPUT. Перечитай еще раз правила внимательно.

[InkVisitor]

Вот я тормоз!

Код: [Выделить]

-A OUTPUT -s 192.168.2.6/32 -o eth0 -j DROP
-A OUTPUT -j ACCEPT
Конечно! Стоило только правила поменять местами - всё заработало. Придётся разобраться ещё, какого я его туда впихнул...

Спасибо огромное Mam(O)n и Unreg

[drako]

Капец, ТС Вы сами поняли, что у вас вообще в правилах творится?!

[InkVisitor]

Угу, чуток подчистить надо...