проблемы с iptables, нет инета.

[melvin]

# Generated by iptables-save v1.4.4 on Fri Mar 22 11:15:27 2013
*nat
:PREROUTING ACCEPT [631:44628]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Mar 22 11:15:27 2013
# Generated by iptables-save v1.4.4 on Fri Mar 22 11:15:27 2013
*mangle
:PREROUTING ACCEPT [751:53844]
:INPUT ACCEPT [259:25521]
:FORWARD ACCEPT [492:28323]
:OUTPUT ACCEPT [99:11004]
:POSTROUTING ACCEPT [99:11004]
COMMIT
# Completed on Fri Mar 22 11:15:27 2013
# Generated by iptables-save v1.4.4 on Fri Mar 22 11:15:27 2013
*filter
:INPUT DROP [141:16361]
:FORWARD DROP [492:28323]
:OUTPUT DROP [0:0]
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 80 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -o eth1 -p udp -m udp --dport 22 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 80 -j ACCEPT
COMMIT
# Completed on Fri Mar 22 11:15:27 2013


подскажите куда копать

[fisher74]

Копните в сторону стандартной ошибки параноидальности в цепочке OUTPUT
В этом форуме для новичков в iptables считается ошибкой дефолное DROT в этой цепочке. И это почти всегда подтверждается, как и в вашем случае
Решение простое, как 5 копеек

Код: [Выделить]

sudo iptables OUTPUT -P ACCEPT

[melvin]

всё бы хорошо, вот только мне порты торентовские закрть нужно

[ArcFi]

проблемы с iptables, нет инета.

Где проблемы: на машине, с которой правила показали, или на хостах за ней?
Как в инет выходите: форвардингом, или через proxy?

[fisher74]

всё бы хорошо, вот только мне порты торентовские закрть нужно

Вопрос стоял по другому. Поддерживаю предыдущего оратора в плане ожидания более развёрнутого описания проблемы

[melvin]

да пока напрямую выхожу с машины, не пускает, даже пинг не проходит.
Пользователь решил продолжить мысль 22 Марта 2013, 14:58:50:Задача такая:
eth0 (смотрит в инет).
ip:178.151.*.*

eth1 (смотрит в лан)
192.168.1.253

компы в сети 192.168.1.1 -192.168.1.254

Задача такая:
закрыть все порты.

с инета открыть: 9022-9026 - для проброса на внутренние компы (сервера rdp)
стоит squid+sams2.
Вся сетка ходит через 192.168.1.253:3128 в интернет. Но так как открыты все порты, то люди включают торрент и спокойно качают фильмы с сети.
Вывод:
из локалки открыть порты :3128, 110,25,22.
из инета 9022-9026 и пробросить на внтренние компы.
Вот где-то так.

[ArcFi]

Вся сетка ходит через 192.168.1.253:3128 в интернет.

Как она ходит, если на шлюзе нет исключения для 3128/tcp при дефолтной политике DROP?

[koshev]

всё бы хорошо, вот только мне порты торентовские закрть нужно

Вся сетка ходит через 192.168.1.253:3128 в интернет. Но так как открыты все порты, то люди включают торрент и спокойно качают фильмы с сети.

Хм... это делается несколько другим способом, а если и делается через NAT, то в цепочке FORWARD.