Не получается пропустить пакет

[winmasta]

Имеем iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Tue Aug 30 11:46:41 2011
*mangle
:PREROUTING ACCEPT [40010369:43007809628]
:INPUT ACCEPT [31565585:40070782964]
:FORWARD ACCEPT [8406174:2901698746]
:OUTPUT ACCEPT [24268390:4091537745]
:POSTROUTING ACCEPT [32674327:6993176719]
COMMIT
# Completed on Tue Aug 30 11:46:41 2011
# Generated by iptables-save v1.4.4 on Tue Aug 30 11:46:41 2011
*nat
:PREROUTING ACCEPT [533915:62724789]
:POSTROUTING ACCEPT [625293:54597192]
:OUTPUT ACCEPT [531:74374]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 6881 -j DNAT --to-destination 192.168.1.9
-A PREROUTING -i ppp0 -p udp -m udp --dport 6881 -j DNAT --to-destination 192.168.1.9
-A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -i eth1 -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.168.1.1
-A POSTROUTING -o eth1 -j SNAT --to-source 192.168.0.2
-A POSTROUTING -o ppp+ -j MASQUERADE
COMMIT
# Completed on Tue Aug 30 11:46:41 2011
# Generated by iptables-save v1.4.4 on Tue Aug 30 11:46:41 2011
*filter
:INPUT DROP [40309:3775701]
:FORWARD DROP [14:716]
:OUTPUT DROP [674:99225]
:allowed - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
-A INPUT -s 192.168.1.1/32 -i lo -j ACCEPT
-A INPUT -s 192.168.0.2/32 -i lo -j ACCEPT
-A INPUT -i eth1 -p gre -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
-A INPUT -d 192.168.0.2/32 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -j tcp_packets
-A INPUT -i eth1 -p udp -j udp_packets
-A INPUT -i eth1 -p icmp -j icmp_packets
-A INPUT -i ppp+ -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp+ -p tcp -j tcp_packets
-A INPUT -i ppp+ -p udp -j udp_packets
-A INPUT -i ppp+ -p icmp -j icmp_packets
-A INPUT -d 224.0.0.0/8 -i eth1 -j DROP
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died: " --log-level 7
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.9/32 -p tcp -m tcp --dport 6881 -j ACCEPT
-A FORWARD -d 192.168.1.9/32 -p udp -m udp --dport 6881 -j ACCEPT
-A FORWARD -d 192.168.1.2/32 -i ppp+ -o eth0 -p tcp -m tcp --dport 445 -j ACCEPT
-A FORWARD -d 192.168.1.2/32 -i eth1 -o eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died: " --log-level 7
-A FORWARD -o ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1357:65535 -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -p tcp -j bad_tcp_packets
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -s 192.168.1.1/32 -j ACCEPT
-A OUTPUT -s 192.168.0.2/32 -j ACCEPT
-A OUTPUT -o ppp+ -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 6881 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 6881 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 6881 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 6881 -j ACCEPT
-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT OUTPUT packet died: " --log-level 7
-A OUTPUT -o ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1357:65535 -j TCPMSS --clamp-mss-to-pmtu
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
-A bad_tcp_packets -d 192.168.1.9/32 -i ppp+ -p tcp -m tcp --dport 6881 -j ACCEPT
-A bad_tcp_packets -s 192.168.1.9/32 -o ppp+ -p tcp -j ACCEPT
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A tcp_packets -s 192.168.1.1/32 -p tcp -m tcp --dport 53 -j allowed
-A tcp_packets -i eth1 -p tcp -m tcp --dport 1723 -j allowed
-A tcp_packets -s 192.168.1.1/32 -p tcp -m tcp --dport 80 -j allowed
-A tcp_packets -d 192.168.0.2/32 -p tcp -m tcp --sport 6881 -j allowed
-A tcp_packets -d 192.168.0.2/32 -p tcp -m tcp --dport 6881 -j allowed
-A udp_packets -s 192.168.1.1/32 -p udp -m udp --dport 53 -j ACCEPT
-A udp_packets -s 192.168.1.1/32 -p udp -m udp --dport 123 -j ACCEPT
-A udp_packets -d 192.168.0.2/32 -p udp -m udp --sport 6881 -j allowed
-A udp_packets -d 192.168.0.2/32 -p udp -m udp --dport 6881 -j allowed
-A udp_packets -d 192.168.0.255/32 -i eth1 -p udp -m udp --dport 135:139 -j DROP
-A udp_packets -d 255.255.255.255/32 -i eth1 -p udp -m udp --dport 67:68 -j DROP
COMMIT
# Completed on Tue Aug 30 11:46:41 2011

в сети машина с торрент клиентом, порты проброшены, но на роутере при этом в сислоге

Aug 30 11:39:45 server kernel: [60425.157731] IPT INPUT packet died: IN=eth1 OUT= MAC=00:25:22:a4:b5:ee:00:1b:11:e2:ce:7b:08:00 SRC=78.139.212.86 DST=192.168.0.2 LEN=58 TOS=0x14 PREC=0x00 TTL=121 ID=58399 PROTO=UDP SPT=55460 DPT=6881 LEN=38

заодно покритикуйте настройки iptables

[metal_mania]

Какой адрес у машины с торрентом?
Какой адрес у интерфейса роутера, который смотрит в локалку?
Зачем правилом

Код: [Выделить]

-A udp_packets -d 192.168.0.2/32 -p udp -m udp --dport 6881 -j allowed пихаем UDP пакеты в цепочку "allowed", когда в ней

Код: [Выделить]

-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP нет ни слова про UDP?

[winmasta]

Какой адрес у машины с торрентом?
Какой адрес у интерфейса роутера, который смотрит в локалку?
Зачем правилом

Код: [Выделить]

-A udp_packets -d 192.168.0.2/32 -p udp -m udp --dport 6881 -j allowed пихаем UDP пакеты в цепочку "allowed", когда в ней

Код: [Выделить]

-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP нет ни слова про UDP?

спасибо, поправил, просто глаз замылился уже в своих правилах