Настройка прокси сервера

[Mam(O)n]

Попробуй изменить правило
-t nat -A POSTROUTING -s 192.168.0.0/24 ! -d 10.10.10.0/24 -o eth1 -j SNAT --to-source 10.10.10.2

[Mans]

Последнюю подсказку проверить не получается пока, пользователям интернет постоянно нужен. Теперь же надумал настроить Cisco вообще напряму к свичу, в связи с этим надо её перенастраивать. Теперь встал другой вопрос: никак не могу залить бэкап с Циски на компьютер по tftp. Установил по инструкции

(Нажмите, чтобы показать/скрыть)

Ставим клиент и сервер:
sudo apt-get install tftp tftpd-hpa

Настройка:
У кого демон inetd, открываем файл /etc/inetd.conf, и убеждаемся в наличае следующей строки, а так же, что перед ней не стоит #:
tftp dgram udp wait nobody /usr/sbin/tcpd /usr/sbin/in.tftpd /srv/tftp

.

Захожу на Циску и пытаюсь выгрузить конфиг, в ответ получаю:

Код: [Выделить]

Delrus_Kazan_881#copy running-config tftp
Address or name of remote host []? 192.168.0.3
Destination filename [/delrus_kazan_881-confg]? cisco.conf
.....
%Error opening tftp://192.168.0.3/cisco.conf (Timed out)

К каталогу "/srv/tftp/" доступ открыт полный, файл "cisco.conf" там присутствует. Что я делаю не так?

[Mam(O)n]

Посмотри, слушает ли сервер порт sudo netstat -lupn

[Mans]

Вот что выдало:

(Нажмите, чтобы показать/скрыть)

Активные соединения с интернетом (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State       PID/Program name
udp        0      0 0.0.0.0:53187           0.0.0.0:*                           784/avahi-daemon: r
udp        0      0 0.0.0.0:69              0.0.0.0:*                           1193/in.tftpd  
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           784/avahi-daemon: r
udp        0      0 239.255.255.250:1900    0.0.0.0:*                           1794/opera      
udp        0      0 0.0.0.0:631             0.0.0.0:*                           1276/cupsd      
udp        0      0 192.168.0.3:57489       0.0.0.0:*                           1794/opera      

Как я понимают - слушает, потому что в списке есть, правильно?

Всё получилось, ошибка оказалась в том, что CISCO и сервер c tftp должны были находиться в одной подсети, а в моем случае между циской и сервером стояла прокси.

[Mans]

Здравствуйте! Теперь у меня появилась новая проблема в связи с переделкой соединения. Вместо маршрутизатора CISCO временно установлен DSL модем D-Link 2500U настроенный бриджом. На сервере поднял pppoe-соединение через pppoeconf. Интернет на прокси сервере появился. Через SQUID интернет пользователям всё так же раздается, но порты прописанные в IPTABLES перестали работать. Т.е. интернет щас раздается только через сквид. Изменил правило в iptables с:

Код: [Выделить]

-A POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to-source 10.10.10.2на:

Код: [Выделить]

-A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADEНо это ничего не дало, как быть?

[fisher74]

показать все правила и интерфейсы

Код: [Выделить]

sudo iptables-save
ifconfig -a

[Mans]

ifconfig -a:

(Нажмите, чтобы показать/скрыть)

proxy:~# ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:60:94:25:55:25 
          inet6 addr: fe80::260:94ff:fe25:5525/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1525805 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1386083 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1430013765 (1.3 GiB)  TX bytes:211937271 (202.1 MiB)

eth1      Link encap:Ethernet  HWaddr 00:14:85:0d:a0:1d 
          inet addr:192.168.0.2  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::214:85ff:fe0d:a01d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1236518 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1199244 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:181299367 (172.9 MiB)  TX bytes:1258293032 (1.1 GiB)

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:10803 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10803 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:5030084 (4.7 MiB)  TX bytes:5030084 (4.7 MiB)

ppp0      Link encap:Point-to-Point Protocol 
          inet addr:78.138.131.170  P-t-P:10.16.254.20  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:617870 errors:0 dropped:0 overruns:0 frame:0
          TX packets:619901 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:539952117 (514.9 MiB)  TX bytes:98653110 (94.0 MiB)

Содержимое iptables:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.2 on Tue Oct 26 13:11:40 2010
*filter
:INPUT ACCEPT [4413:381381]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [247:55898]
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 389 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p udp -m udp --dport 389 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p icmp -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Tue Oct 26 13:11:40 2010
# Generated by iptables-save v1.4.2 on Tue Oct 26 13:11:40 2010
*nat
:PREROUTING ACCEPT [4142:354087]
:POSTROUTING ACCEPT [188:24632]
:OUTPUT ACCEPT [189:24873]
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Oct 26 13:11:40 2010

[fisher74]

А как бы

Код: [Выделить]

-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADEэто и не правильно, потому как исходящим интерфейсом у тебя выступает ppp0

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
или

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE

[Mans]

Теперь содержимое iptables стало:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.2 on Wed Nov  3 14:35:08 2010
*nat
:PREROUTING ACCEPT [55162:3364748]
:POSTROUTING ACCEPT [62168:3328808]
:OUTPUT ACCEPT [62168:3328808]
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Wed Nov  3 14:35:08 2010
# Generated by iptables-save v1.4.2 on Wed Nov  3 14:35:08 2010
*filter
:INPUT ACCEPT [610501:347147823]
:FORWARD DROP [42270:2554474]
:OUTPUT ACCEPT [649446:347674630]
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 389 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p udp -m udp --dport 389 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p icmp -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Wed Nov  3 14:35:08 2010
# Generated by iptables-save v1.4.2 on Wed Nov  3 14:35:08 2010
*mangle
:PREROUTING ACCEPT [1120070:609149460]
:INPUT ACCEPT [1053600:605114411]
:FORWARD ACCEPT [66470:4035049]
:OUTPUT ACCEPT [1109890:602869134]
:POSTROUTING ACCEPT [1110038:602887699]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Wed Nov  3 14:35:08 2010

Но ничего так и не работает, бонально даже ping ya.ru ничего не дает. Если пинговать по ip-адресу также безрезультатно.

[fisher74]

Код: [Выделить]

cat /proc/sys/net/ipv4/ip_forwardи добавьте

Код: [Выделить]

sudo iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o ppp -p icmp -j ACCEPTДа и вообще во всех правилах измените eth0 на ppp0

[Mans]

Попробовал всё переделать, сейчас вот такая ситуация...
ifconfig:

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:60:94:25:55:25
          inet addr:192.168.0.2  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::260:94ff:fe25:5525/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:219716 errors:0 dropped:0 overruns:0 frame:0
          TX packets:86380 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:27108694 (25.8 MiB)  TX bytes:78737523 (75.0 MiB)

eth1      Link encap:Ethernet  HWaddr 00:14:85:0d:a0:1d
          inet6 addr: fe80::214:85ff:fe0d:a01d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:221556 errors:0 dropped:0 overruns:0 frame:0
          TX packets:98834 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:80839991 (77.0 MiB)  TX bytes:14571043 (13.8 MiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:225314 errors:0 dropped:0 overruns:0 frame:0
          TX packets:225314 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:45569069 (43.4 MiB)  TX bytes:45569069 (43.4 MiB)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:78.138.131.170  P-t-P:10.16.254.20  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:91238 errors:0 dropped:0 overruns:0 frame:0
          TX packets:90143 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:70889031 (67.6 MiB)  TX bytes:12300799 (11.7 MiB)

Интерфейс eth0 - смотрит в локальную сеть, а через eth1 - поднимается pppoe-сессия.

Содержимое iptables:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.2 on Thu Nov 18 08:25:09 2010
*nat
:PREROUTING ACCEPT [5213:554815]
:POSTROUTING ACCEPT [19128:1031746]
:OUTPUT ACCEPT [19128:1031746]
-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Thu Nov 18 08:25:09 2010
# Generated by iptables-save v1.4.2 on Thu Nov 18 08:25:09 2010
*filter
:INPUT ACCEPT [475445:123348075]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [357388:115802333]
-A FORWARD -s 192.168.0.0/24 -i eth0 -o ppp -p icmp -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth0 -o ppp -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth0 -o ppp -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth0 -o ppp -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth0 -o ppp -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth0 -o ppp -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth0 -o ppp -p tcp -m tcp --dport 389 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth0 -o ppp -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth0 -o ppp -p udp -m udp --dport 389 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth0 -o ppp -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Nov 18 08:25:09 2010
# Generated by iptables-save v1.4.2 on Thu Nov 18 08:25:09 2010
*mangle
:PREROUTING ACCEPT [476752:123946652]
:INPUT ACCEPT [475443:123347919]
:FORWARD ACCEPT [1306:594233]
:OUTPUT ACCEPT [357388:115802333]
:POSTROUTING ACCEPT [358694:116396566]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Thu Nov 18 08:25:09 2010

Исключения не работают.

Если не делать настройку:

Код: [Выделить]

iptables -P FORWARD DROPинтернет раздается, но хотелось бы разрешить только некоторые порты, а остальное у меня проходит через squid.

Ну и:

(Нажмите, чтобы показать/скрыть)

proxy:~# cat /proc/sys/net/ipv4/ip_forward
1

Какие ещё есть варианты?

[fisher74]

Вообще, судя по счётчикам у тебя ни один пакет на цепочке FORWARD не задропился.
Покажи при включенном "iptables -P FORWARD DROP" с клиентской машины

Код: [Выделить]

nslookup 8.8.8.8 8.8.8.8

[Mans]

Не совсем понял, но вот:

Код: [Выделить]

mans@mans-desktop:~$ nslookup 8.8.8.8 8.8.8.8
;; connection timed out; no servers could be reached


[bubuntu-ru]

Попробовал всё переделать, сейчас вот такая ситуация...
ifconfig:

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:60:94:25:55:25
          inet addr:192.168.0.2  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::260:94ff:fe25:5525/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:219716 errors:0 dropped:0 overruns:0 frame:0
          TX packets:86380 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:27108694 (25.8 MiB)  TX bytes:78737523 (75.0 MiB)

eth1      Link encap:Ethernet  HWaddr 00:14:85:0d:a0:1d
          inet6 addr: fe80::214:85ff:fe0d:a01d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:221556 errors:0 dropped:0 overruns:0 frame:0
          TX packets:98834 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:80839991 (77.0 MiB)  TX bytes:14571043 (13.8 MiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:225314 errors:0 dropped:0 overruns:0 frame:0
          TX packets:225314 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:45569069 (43.4 MiB)  TX bytes:45569069 (43.4 MiB)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:78.138.131.170  P-t-P:10.16.254.20  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:91238 errors:0 dropped:0 overruns:0 frame:0
          TX packets:90143 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:70889031 (67.6 MiB)  TX bytes:12300799 (11.7 MiB)

Интерфейс eth0 - смотрит в локальную сеть, а через eth1 - поднимается pppoe-сессия.

Содержимое iptables:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.2 on Thu Nov 18 08:25:09 2010
*nat
:PREROUTING ACCEPT [5213:554815]
:POSTROUTING ACCEPT [19128:1031746]
:OUTPUT ACCEPT [19128:1031746]
-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Thu Nov 18 08:25:09 2010
# Generated by iptables-save v1.4.2 on Thu Nov 18 08:25:09 2010
*filter
:INPUT ACCEPT [475445:123348075]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [357388:115802333]
-A FORWARD -s 192.168.0.0/24 -i eth0 -o ppp -p icmp -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth0 -o ppp -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth0 -o ppp -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth0 -o ppp -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth0 -o ppp -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth0 -o ppp -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth0 -o ppp -p tcp -m tcp --dport 389 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth0 -o ppp -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth0 -o ppp -p udp -m udp --dport 389 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth0 -o ppp -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Nov 18 08:25:09 2010
# Generated by iptables-save v1.4.2 on Thu Nov 18 08:25:09 2010
*mangle
:PREROUTING ACCEPT [476752:123946652]
:INPUT ACCEPT [475443:123347919]
:FORWARD ACCEPT [1306:594233]
:OUTPUT ACCEPT [357388:115802333]
:POSTROUTING ACCEPT [358694:116396566]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Thu Nov 18 08:25:09 2010

Исключения не работают.

Если не делать настройку:

Код: [Выделить]

iptables -P FORWARD DROPинтернет раздается, но хотелось бы разрешить только некоторые порты, а остальное у меня проходит через squid.

Ну и:

(Нажмите, чтобы показать/скрыть)

proxy:~# cat /proc/sys/net/ipv4/ip_forward
1

Какие ещё есть варианты?

А типо так добавить(хотя может ошибся, лень читать посты )
-A PREROUTING -i ppp0 -p udp -m udp --dport 3210 -j DNAT --to-destination 192.168.2.204:3210
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 6882 -j DNAT --to-destination 192.168.2.203:6882
 значения свои уж
ни пинг ни трассер и не должны быть по таким правилам в локалке

[Mans]

А типо так добавить(хотя может ошибся, лень читать посты )
-A PREROUTING -i ppp0 -p udp -m udp --dport 3210 -j DNAT --to-destination 192.168.2.204:3210
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 6882 -j DNAT --to-destination 192.168.2.203:6882
 значения свои уж
ни пинг ни трассер и не должны быть по таким правилам в локалке

- просто когда сессия pppoe не поднималась на проксе (iptables приводил в начале темы) с такими настройками всё работало на ура. Предложенный Вами способ я попробую чуть позже, и обязательно потом отпишусь.

А пока у меня появилось более срочная проблема. Структура сети опять изменилась (схему прилагаю). И так вот при такой схеме подключения не могу добиться чтобы ПК (10.10.10.3) пинговал ПК2 (192.168.0.151), понимаю что проблема в iptables, подскажите пожалуйста что там можно ещё попробовать? Причем с ПК2 пинги до ПК доходят.

Вот содержимое IPTABLES:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Thu Nov 11 14:23:23 2010
*filter
:INPUT ACCEPT [5962:529173]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1386:266609]
-A FORWARD -s 192.168.0.0/24 -i eth3 -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth3 -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth3 -o eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth3 -o eth0 -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth3 -o eth0 -p tcp -m tcp --dport 389 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth3 -o eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth3 -o eth0 -p udp -m udp --dport 389 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth3 -o eth0 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth3 -o eth0 -p icmp -j ACCEPT
-A FORWARD -s 10.10.10.3 -i eth0 -o eth3 -p icmp -j ACCEPT
-A FORWARD -s 192.168.0.151 -j ACCEPT
-A FORWARD -d 192.168.0.151 -j ACCEPT
-A FORWARD -d 192.168.0.3 -j ACCEPT
-A FORWARD -s 192.168.0.3 -j ACCEPT
-A FORWARD -s 10.10.10.3 -j ACCEPT
-A FORWARD -d 10.10.10.3 -j ACCEPT
COMMIT
# Completed on Thu Nov 11 14:23:23 2010
# Generated by iptables-save v1.4.4 on Thu Nov 11 14:23:23 2010
*nat
:PREROUTING ACCEPT [3355:334092]
:POSTROUTING ACCEPT [34:8201]
:OUTPUT ACCEPT [34:8201]
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source 10.10.10.2
-A POSTROUTING -s 10.10.10.3 -o eth3 -j SNAT --to-source 192.168.0.140
COMMIT
# Completed on Thu Nov 11 14:23:23 2010

Проблему решил: дело было не в IPTABLES, а в антивирусе, который стоял на клиентской машине и настройке шлюза на этой же машине (шлюзом нужно было указать сам прокси-сервер).