GRE тунель

[koos]

Создаю туннель в первый раз...
имеем локальная сеть А
шлюз внешний IP 81,3.*.*
шлюз лок IP  192.168.0.7

локальная сеть Б
шлюз внешний   IP 46.47.*.*
шлюз локальнвй IP 192.168.11.5

Сделано на шлюзе А

(Нажмите, чтобы показать/скрыть)

в интерферсе добавлен туннель
iface tun0 inet manual
        up ip tunnel add tun0 mode gre remote 46.47.*.* local 81.3.*.*
        up ifconfig tun0 10.0.0.2 netmask 255.255.255.252 pointopoint 10.0.0.1 mtu 1500
        up ip route add 192.168.11.0/255.255.255.0 dev tun0
        down ip tunnel del tun0

в iptables добавленно
# iptables -A FORWARD -i tun+ -j ACCEPT
# iptables -A FORWARD -p gre -j ACCEPT
# iptables -A FORWARD -i lo -d 192.168.0.0 -j ACCEPT

# iptables -A INPUT -i tun+ -j ACCEPT
# iptables -A INPUT -p gre -j ACCEPT
# iptables -A INPUT -i lo -j ACCEPT

# iptables -A OUTPUT -o tun+ -j ACCEPT
# iptables -A OUTPUT -p gre -j ACCEPT
# iptables -A OUTPUT -o lo -j ACCEPT

где lo
LO_IFACE="lo"
LO_IP="127.0.0.1"

на шлюзе Б сделано по аналогиии

результаты:
роутинг на шлюзе А

(Нажмите, чтобы показать/скрыть)

route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.0        0.0.0.0         255.255.255.252 U     0      0        0 tun0
81.3.*.*        0.0.0.0         255.255.255.248 U     0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.11.0    0.0.0.0         255.255.255.0   U     0      0        0 tun0
0.0.0.0         81.3.*.*        0.0.0.0         UG    100    0        0 eth0

пинги со шлюза А :
пингуется локальный IP шлюзе Б, локальная машина из локальной сетиБ
с локальной машины из сетиА при пинге локальной машины сетиБ
следующее:
C:\>ping 192.168.11.5
Обмен пакетами с 192.168.11.5 по 32 байт:
Ответ от 81.3.*.*: Заданная сеть недоступна.
Ответ от 81.3.*.*: Заданная сеть недоступна.
Ответ от 81.3.*.*: Заданная сеть недоступна.
Ответ от 81.3.*.*: Заданная сеть недоступна.

не понимают от куда 81.3.*.* Айпи берется

из локальной сети со шлюзаБ пингуется только локальный IP шлюзаА

Жду ваших советов как все же подружить локальные сети )

[Unreg]

$ /sbin/sysctl net.ipv4.ip_forward

P/S/ openvpn, vtun, ipsec

[fisher74]

Предлагаю показать результирующие правила/интерфесы/маршруты, а не литературное описание оных. Скрипты правил тоже не предлагать, потому как что-то мне подсказывает, что правило
iptables -A FORWARD -i lo -d 192.168.0.0 -j ACCEPT
не добавилось, потому как в нём есть ошибка. Или добавилось не так как задумывалось.

[koos]

Предлагаю показать результирующие правила/интерфесы/маршруты, а не литературное описание оных. Скрипты правил тоже не предлагать...

если у меня был бы опыт, то я бы знал в чем ошибка, но я новичок и не в курсе где ошибка т.к. открыл книжку и делаю, но не получается

iptables -A FORWARD -i lo -d 192.168.0.0 -j ACCEPT
не добавилось, потому как в нём есть ошибка. Или добавилось не так как задумывалось.

а ошибка в чем, что маска не поставлена?
так iptables -A FORWARD -i lo -d 192.168.0.0/24 -j ACCEPT

[fisher74]

Я не оспаривал Ваши познания в этом направлении. Я просто предложил показать

Код: [Выделить]

ifconfig -a
route -n
sudo iptables-saveдабы найти помочь найти камень(-мни) преткновения.

Про ошибку - да, я имел ввиду маску сети.

[koos]

ШЛЮЗ 1
ifconfig -a

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:30:48:de:5a:04
          inet addr:81.3.*.*  Bcast:81.3.*.*  Mask:255.255.255.248
          inet6 addr: fe80::230:48ff:fede:5a04/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:330621264 errors:0 dropped:0 overruns:0 frame:0
          TX packets:276880790 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:688721484 (688.7 MB)  TX bytes:349319565 (349.3 MB)
          Memory:fb5e0000-fb600000

eth1      Link encap:Ethernet  HWaddr 00:30:48:de:5a:05
          inet addr:192.168.0.7  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::230:48ff:fede:5a05/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:343128888 errors:5 dropped:4901 overruns:0 frame:5
          TX packets:414163922 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:598309034 (598.3 MB)  TX bytes:2284906946 (2.2 GB)
          Memory:fb6e0000-fb700000

gre0      Link encap:UNSPEC  HWaddr 00-00-00-00-3A-35-61-30-00-00-00-00-00-00-00-00
          NOARP  MTU:1476  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:10078088 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10078088 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1257188250 (1.2 GB)  TX bytes:1257188250 (1.2 GB)

tun0      Link encap:UNSPEC  HWaddr 51-03-B0-5E-3A-30-30-30-00-00-00-00-00-00-00-00
          inet addr:10.0.0.2  P-t-P:10.0.0.1  Mask:255.255.255.252
          UP POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:1459 errors:0 dropped:0 overruns:0 frame:0
          TX packets:197 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:118730 (118.7 KB)  TX bytes:14980 (14.9 KB)

route -n

(Нажмите, чтобы показать/скрыть)

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.0        0.0.0.0         255.255.255.252 U     0      0        0 tun0
81.3.*.*     0.0.0.0         255.255.255.248 U     0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.11.0    0.0.0.0         255.255.255.0   U     0      0        0 tun0
0.0.0.0         81.3.*.*     0.0.0.0         UG    100    0        0 eth0

sudo iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.1.1 on Wed Dec  7 14:14:42 2011
*mangle
:PREROUTING ACCEPT [203037:157433002]
:INPUT ACCEPT [172997303:110856052802]
:FORWARD ACCEPT [854276:544553142]
:OUTPUT ACCEPT [226583:159076951]
:POSTROUTING ACCEPT [183611053:118013112315]
COMMIT
# Completed on Wed Dec  7 14:14:42 2011
# Generated by iptables-save v1.4.1.1 on Wed Dec  7 14:14:42 2011
*nat
:PREROUTING ACCEPT [2288:146208]
:POSTROUTING ACCEPT [14:849]
:OUTPUT ACCEPT [5756:413702]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8000 -j DNAT --to-destination 192.168.11.200:8000
-A PREROUTING -s 109.124.*.*/32 -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.36:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 1494 -j DNAT --to-destination 192.168.1.50:1494
-A PREROUTING -i eth0 -p tcp -m tcp --dport 1604 -j DNAT --to-destination 192.168.1.50:1604
-A PREROUTING -i eth0 -p tcp -m tcp --dport 2598 -j DNAT --to-destination 192.168.1.50:2598
-A POSTROUTING -d 192.168.11.200/32 -p tcp -m tcp --dport 8000 -j SNAT --to-source 192.168.11.1
-A POSTROUTING -o eth0 -p tcp -j SNAT --to-source 81.3.*.*:1024-59999
-A POSTROUTING -o eth0 -p udp -j SNAT --to-source 81.3.*.*:1024-59999
-A POSTROUTING -o eth0 -j SNAT --to-source 81.3.*.*
COMMIT
# Completed on Wed Dec  7 14:14:42 2011
# Generated by iptables-save v1.4.1.1 on Wed Dec  7 14:14:42 2011
*filter
:INPUT DROP [23:12382]
:FORWARD DROP [93:4464]
:OUTPUT DROP [0:0]
:final-tcp-check - [0:0]
:icmp-check - [0:0]
:invalid-tcp - [0:0]
:ip-inet-to-lan - [0:0]
:ip-input - [0:0]
:ip-lan-to-inet - [0:0]
-A INPUT -i tun+ -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p ipip -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -j invalid-tcp
-A INPUT -p icmp -j icmp-check
-A INPUT -i eth1 -p tcp -j ACCEPT
-A INPUT -i eth1 -p udp -j ACCEPT
-A INPUT -s 192.168.0.0/32 -i eth1 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
-A INPUT -s 192.168.0.7/32 -i lo -j ACCEPT
-A INPUT -s 81.3.*.*/32 -i lo -j ACCEPT
-A INPUT -d 81.3.*.*/32 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -j ip-input
-A FORWARD -i tun+ -j ACCEPT
-A FORWARD -p gre -j ACCEPT
-A FORWARD -p ipip -j ACCEPT
-A FORWARD -d 192.168.0.0/24 -i eth1 -j ACCEPT
-A FORWARD -d 192.168.0.0/24 -i lo -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 192.168.11.0/24 -i eth1 -o tun0 -j ACCEPT
-A FORWARD -s 192.168.11.0/24 -d 192.168.0.0/24 -i tun0 -o eth1 -j ACCEPT
-A FORWARD -p tcp -j invalid-tcp
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -p tcp -j ip-lan-to-inet
-A FORWARD -i eth1 -p udp -j ip-lan-to-inet
-A FORWARD -i eth1 -p icmp -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -i eth0 -p tcp -j ip-inet-to-lan
-A OUTPUT -o tun+ -j ACCEPT
-A OUTPUT -p gre -j ACCEPT
-A OUTPUT -p ipip -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -j invalid-tcp
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -s 192.168.0.7/32 -j ACCEPT
-A OUTPUT -s 81.3.*.*/32 -j ACCEPT
-A final-tcp-check -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A final-tcp-check -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A final-tcp-check -p tcp -j DROP
-A icmp-check -p icmp -j ACCEPT
-A invalid-tcp -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A invalid-tcp -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A ip-inet-to-lan -p tcp -m tcp --dport 8889 -j DROP
-A ip-inet-to-lan -d 192.168.1.50/32 -p tcp -j final-tcp-check
-A ip-input -p tcp -m tcp --dport 20 -j final-tcp-check
-A ip-input -p tcp -m tcp --dport 21 -j ACCEPT
-A ip-input -p tcp -m tcp --dport 22 -j final-tcp-check
-A ip-input -p tcp -m tcp --dport 8000 -j final-tcp-check
-A ip-input -d 255.255.255.255/32 -i eth0 -p udp -m udp --dport 67:68 -j DROP
-A ip-lan-to-inet -p tcp -m tcp --dport 20 -j final-tcp-check
-A ip-lan-to-inet -p tcp -m tcp --dport 21 -j final-tcp-check
-A ip-lan-to-inet -p tcp -m tcp --dport 25 -j final-tcp-check
-A ip-lan-to-inet -p tcp -m tcp --dport 53 -j final-tcp-check
-A ip-lan-to-inet -p tcp -m tcp --dport 110 -j final-tcp-check
-A ip-lan-to-inet -p tcp -m tcp --dport 5190 -j final-tcp-check
-A ip-lan-to-inet -d 81.3.*.*/32 -p tcp -m tcp --dport 25 -j final-tcp-check
-A ip-lan-to-inet -d 81.3.*.*/32 -p tcp -m tcp --dport 1494 -j final-tcp-check
-A ip-lan-to-inet -d 81.3.*.*/32 -p tcp -m tcp --dport 1604 -j final-tcp-check
-A ip-lan-to-inet -d 81.3.*.*/32 -p tcp -m tcp --dport 2598 -j final-tcp-check
-A ip-lan-to-inet -s 192.168.0.36/32 -p tcp -j final-tcp-check
-A ip-lan-to-inet -s 192.168.108.251/32 -p tcp -j final-tcp-check
-A ip-lan-to-inet -s 192.168.108.14/32 -d 81.23.*.*/32 -p tcp -j final-tcp-check
-A ip-lan-to-inet -s 192.168.108.14/32 -d 81.177.*.*/32 -p tcp -j final-tcp-check
-A ip-lan-to-inet -s 192.168.108.14/32 -d 93.191.*.*/32 -p tcp -j final-tcp-check
-A ip-lan-to-inet -s 192.168.108.14/32 -d 195.27.*.*/32 -p tcp -j final-tcp-check
-A ip-lan-to-inet -s 192.168.108.14/32 -d 195.27.*.*/32 -p tcp -j final-tcp-check
-A ip-lan-to-inet -s 192.168.108.14/32 -d 195.27.*.*/32 -p tcp -j final-tcp-check
-A ip-lan-to-inet -s 192.168.108.14/32 -d 195.27.*.*/32 -p tcp -j final-tcp-check
-A ip-lan-to-inet -s 192.168.108.12/32 -d 80.68.*.*/32 -p tcp -j final-tcp-check
-A ip-lan-to-inet -s 192.168.0.198/32 -p udp -m udp --dport 87 -j final-tcp-check
-A ip-lan-to-inet -s 192.168.0.198/32 -p tcp -m tcp --dport 1352 -j final-tcp-check
-A ip-lan-to-inet -s 192.168.0.198/32 -p tcp -m tcp --dport 1024 -j final-tcp-check
-A ip-lan-to-inet -s 192.168.0.198/32 -p tcp -m tcp --dport 9080 -j final-tcp-check
-A ip-lan-to-inet -s 192.168.0.198/32 -p tcp -m tcp --dport 9443 -j final-tcp-check
-A ip-lan-to-inet -s 192.168.0.198/32 -p udp -m udp --dport 9443 -j final-tcp-check
-A ip-lan-to-inet -s 192.168.0.198/32 -p udp -m udp --dport 9080 -j final-tcp-check
-A ip-lan-to-inet -p tcp -m tcp --dport 1024:59999 -j final-tcp-check
-A ip-lan-to-inet -p udp -m udp --dport 53 -j ACCEPT
-A ip-lan-to-inet -p udp -m udp --dport 87 -j ACCEPT
-A ip-lan-to-inet -p udp -m udp --dport 123 -j ACCEPT
-A ip-lan-to-inet -p udp -m udp --dport 1024:59999 -j ACCEPT
COMMIT
# Completed on Wed Dec  7 14:14:42 2011

шлюз 2
ifconfig -a

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:15:17:1b:cb:5a
          inet addr:46.47.*.*  Bcast:46.47.*.*  Mask:255.255.255.248
          inet6 addr: fe80::215:17ff:fe1b:cb5a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5822912 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4286878 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2889338951 (2.8 GB)  TX bytes:975521937 (975.5 MB)
          Память:48180000-481a0000

eth0:12   Link encap:Ethernet  HWaddr 00:15:17:1b:cb:5a
          inet addr:46.47.*.*  Bcast:46.47.*.*  Mask:255.255.255.248
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Память:48180000-481a0000

eth1      Link encap:Ethernet  HWaddr 00:15:17:1b:cb:5b
          inet addr:192.168.11.5  Bcast:192.168.11.255  Mask:255.255.255.0
          inet6 addr: fe80::215:17ff:fe1b:cb5b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:11517450 errors:0 dropped:0 overruns:0 frame:0
          TX packets:37770 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1086036036 (1.0 GB)  TX bytes:9998554 (9.9 MB)

gre0      Link encap:UNSPEC  HWaddr 00-00-00-00-3A-63-62-35-00-00-00-00-00-00-00-00
          NOARP  MTU:1476  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1216 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1216 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:119692 (119.6 KB)  TX bytes:119692 (119.6 KB)

tun0      Link encap:UNSPEC  HWaddr 2E-2F-C7-2A-3A-30-30-30-00-00-00-00-00-00-00-00
          inet addr:10.0.0.1  P-t-P:10.0.0.2  Mask:255.255.255.252
          UP POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:191 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1543 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:14620 (14.6 KB)  TX bytes:123954 (123.9 KB)

route -n

(Нажмите, чтобы показать/скрыть)

Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.0        0.0.0.0         255.255.255.252 U     0      0        0 tun0
46.47.*.*       0.0.0.0         255.255.255.248 U     0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.11.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         46.47.*.*    0.0.0.0         UG    100    0        0 eth0
0.0.0.0         46.47.*.*    0.0.0.0         UG    100    0        0 eth0

sudo iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.1.1 on Wed Dec  7 14:29:38 2011
*mangle
:PREROUTING ACCEPT [4939:564747]
:INPUT ACCEPT [5311893:2727277955]
:FORWARD ACCEPT [522:34292]
:OUTPUT ACCEPT [563:223184]
:POSTROUTING ACCEPT [4080549:903812544]
COMMIT
# Completed on Wed Dec  7 14:29:38 2011
# Generated by iptables-save v1.4.1.1 on Wed Dec  7 14:29:38 2011
*nat
:PREROUTING ACCEPT [4184:396239]
:POSTROUTING ACCEPT [4:240]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8000 -j DNAT --to-destination 192.168.11.200:8000
-A PREROUTING -i eth0 -p tcp -m tcp --dport 1494 -j DNAT --to-destination 192.168.1.50:1494
-A PREROUTING -i eth0 -p tcp -m tcp --dport 1604 -j DNAT --to-destination 192.168.1.50:1604
-A PREROUTING -i eth0 -p tcp -m tcp --dport 2598 -j DNAT --to-destination 192.168.1.50:2598
-A POSTROUTING -o eth0 -p tcp -j SNAT --to-source 46.47.*.*:1024-59999
-A POSTROUTING -o eth0 -p udp -j SNAT --to-source 46.47.*.*:1024-59999
-A POSTROUTING -o eth0 -j SNAT --to-source 46.47.*.*
COMMIT
# Completed on Wed Dec  7 14:29:38 2011
# Generated by iptables-save v1.4.1.1 on Wed Dec  7 14:29:38 2011
*filter
:INPUT DROP [31:2258]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:final-tcp-check - [0:0]
:icmp-check - [0:0]
:invalid-tcp - [0:0]
:ip-inet-to-lan - [0:0]
:ip-input - [0:0]
:ip-lan-to-inet - [0:0]
-A INPUT -i tun+ -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p ipip -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -j invalid-tcp
-A INPUT -p icmp -j icmp-check
-A INPUT -i eth1 -p tcp -j ACCEPT
-A INPUT -i eth1 -p udp -j ACCEPT
-A INPUT -s 192.168.11.0/32 -i eth1 -j ACCEPT
-A INPUT -s 192.168.11.0/24 -i eth1 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
-A INPUT -s 192.168.11.5/32 -i lo -j ACCEPT
-A INPUT -s 46.47.*.*/32 -i lo -j ACCEPT
-A INPUT -d 46.47.*.*/32 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -j ip-input
-A FORWARD -i tun+ -j ACCEPT
-A FORWARD -p gre -j ACCEPT
-A FORWARD -p ipip -j ACCEPT
-A FORWARD -d 192.168.11.0/24 -i eth1 -j ACCEPT
-A FORWARD -d 192.168.11.0/24 -i lo -j ACCEPT
-A FORWARD -s 192.168.11.0/24 -d 192.168.0.0/24 -i eth1 -o tun0 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 192.168.11.0/24 -i tun0 -o eth1 -j ACCEPT
-A FORWARD -p tcp -j invalid-tcp
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -p tcp -j ip-lan-to-inet
-A FORWARD -i eth1 -p udp -j ip-lan-to-inet
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p tcp -m tcp --dport 8000 -j ACCEPT
-A FORWARD -i eth0 -p tcp -j ip-inet-to-lan
-A OUTPUT -o tun+ -j ACCEPT
-A OUTPUT -p gre -j ACCEPT
-A OUTPUT -p ipip -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -j invalid-tcp
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -s 192.168.11.5/32 -j ACCEPT
-A OUTPUT -s 46.47.*.*/32 -j ACCEPT
-A final-tcp-check -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A final-tcp-check -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A final-tcp-check -p tcp -j DROP
-A icmp-check -p icmp -j ACCEPT
-A invalid-tcp -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A invalid-tcp -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A ip-inet-to-lan -p tcp -m tcp --dport 8889 -j DROP
-A ip-inet-to-lan -d 192.168.1.50/32 -p tcp -j final-tcp-check
-A ip-input -p tcp -m tcp --dport 20 -j final-tcp-check
-A ip-input -p tcp -m tcp --dport 22 -j final-tcp-check
-A ip-input -p tcp -m tcp --dport 5001 -j final-tcp-check
-A ip-input -p tcp -m tcp --dport 8000 -j final-tcp-check
-A ip-input -d 255.255.255.255/32 -i eth0 -p udp -m udp --dport 67:68 -j DROP
-A ip-lan-to-inet -p tcp -m tcp --dport 20 -j final-tcp-check
-A ip-lan-to-inet -p tcp -m tcp --dport 21 -j final-tcp-check
-A ip-lan-to-inet -p tcp -m tcp --dport 53 -j final-tcp-check
-A ip-lan-to-inet -p tcp -m tcp --dport 110 -j final-tcp-check
-A ip-lan-to-inet -p tcp -m tcp --dport 143 -j final-tcp-check
-A ip-lan-to-inet -p tcp -m tcp --dport 220 -j final-tcp-check
-A ip-lan-to-inet -p tcp -m tcp --dport 443 -j final-tcp-check
-A ip-lan-to-inet -p tcp -m tcp --dport 993 -j final-tcp-check
-A ip-lan-to-inet -p tcp -m tcp --dport 995 -j final-tcp-check
-A ip-lan-to-inet -p tcp -m tcp --dport 5190 -j final-tcp-check
-A ip-lan-to-inet -p tcp -m tcp --dport 8000 -j final-tcp-check
-A ip-lan-to-inet -d 81.3.*.*/32 -p tcp -m tcp --dport 25 -j final-tcp-check
-A ip-lan-to-inet -d 78.108.*.*/32 -p tcp -m tcp --dport 1494 -j final-tcp-check
-A ip-lan-to-inet -d 78.108.*.*/32 -p tcp -m tcp --dport 1604 -j final-tcp-check
-A ip-lan-to-inet -d 81.3.*.*/32 -p tcp -m tcp --dport 1494 -j final-tcp-check
-A ip-lan-to-inet -d 81.3.*.*/32 -p tcp -m tcp --dport 1604 -j final-tcp-check
-A ip-lan-to-inet -d 81.3.*.*/32 -p tcp -m tcp --dport 2598 -j final-tcp-check
-A ip-lan-to-inet -s 192.168.108.251/32 -p tcp -j final-tcp-check
-A ip-lan-to-inet -s 192.168.108.14/32 -d 81.23.*.*/32 -p tcp -j final-tcp-check
-A ip-lan-to-inet -s 192.168.108.14/32 -d 81.177.*.*/32 -p tcp -j final-tcp-check
-A ip-lan-to-inet -s 192.168.108.14/32 -d 93.191.*.*/32 -p tcp -j final-tcp-check
-A ip-lan-to-inet -s 192.168.108.14/32 -d 195.27.181.23/32 -p tcp -j final-tcp-check
-A ip-lan-to-inet -s 192.168.108.14/32 -d 195.27.181.25/32 -p tcp -j final-tcp-check
-A ip-lan-to-inet -s 192.168.108.14/32 -d 195.27.181.26/32 -p tcp -j final-tcp-check
-A ip-lan-to-inet -s 192.168.108.14/32 -d 195.27.181.42/32 -p tcp -j final-tcp-check
-A ip-lan-to-inet -s 192.168.108.12/32 -d 80.68.*.*/32 -p tcp -j final-tcp-check
-A ip-lan-to-inet -s 192.168.108.145/32 -p tcp -m tcp --dport 443 -j final-tcp-check
-A ip-lan-to-inet -s 192.168.108.145/32 -p tcp -m tcp --dport 80 -j final-tcp-check
-A ip-lan-to-inet -p tcp -m tcp --dport 1024:59999 -j final-tcp-check
-A ip-lan-to-inet -p udp -m udp --dport 53 -j ACCEPT
-A ip-lan-to-inet -p udp -m udp --dport 123 -j ACCEPT
-A ip-lan-to-inet -p udp -m udp --dport 1024:59999 -j ACCEPT
COMMIT
# Completed on Wed Dec  7 14:29:38 2011