Автор Тема: переброс портов iptables (Прочитано 1573 раз)

xazrad · « : 10 Августа 2009, 17:11:01 »

Добрый день. Создал шлюз в сети со squid. создал следующий iptables. все работает, одноко после перезагрузки отваливается доступ по rdp, делаю вручную iptables-restore и переброс работает, однако в локальной сети перестает работать почта и не проходят пинги во внешний мир.
Конфиг iptables
# Generated by iptables-save v1.4.1.1 on Mon Aug 10 16:34:52 2009
*mangle
:PREROUTING ACCEPT [791:151168]
:INPUT ACCEPT [300:26762]
:FORWARD ACCEPT [487:124214]
:OUTPUT ACCEPT [76:8683]
:POSTROUTING ACCEPT [563:132897]
COMMIT
# Completed on Mon Aug 10 16:34:52 2009
# Generated by iptables-save v1.4.1.1 on Mon Aug 10 16:34:52 2009
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.0/8 -i ! lo -j LOG
-A INPUT -s 127.0.0.0/8 -i ! lo -j DROP
-A INPUT -d 255.255.255.255/32 -i eth0 -j ACCEPT
-A INPUT -s 192.168.3.0/24 -i eth0 -j ACCEPT
-A INPUT -d 224.0.0.0/4 -i eth0 -p ! tcp -j ACCEPT
-A INPUT -s 192.168.3.0/24 -i eth1 -j LOG
-A INPUT -s 192.168.3.0/24 -i eth1 -j DROP
-A INPUT -d 255.255.255.255/32 -i eth1 -j ACCEPT
-A INPUT -d 85.233.83.XX/32 -i eth1 -j ACCEPT
-A INPUT -d 85.233.83.127/32 -i eth1 -j ACCEPT
-A INPUT -d 224.0.0.1/32 -j DROP
-A INPUT -j LOG
-A INPUT -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.3.0/24 -o eth1 -j LOG
-A FORWARD -d 192.168.3.0/24 -o eth1 -j DROP
-A FORWARD -d 224.0.0.1/32 -j DROP
-A FORWARD -j LOG
-A FORWARD -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -d 255.255.255.255/32 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.3.0/24 -o eth0 -j ACCEPT
-A OUTPUT -d 224.0.0.0/4 -o eth0 -p ! tcp -j ACCEPT
-A OUTPUT -d 192.168.3.0/24 -o eth1 -j LOG
-A OUTPUT -d 192.168.3.0/24 -o eth1 -j DROP
-A OUTPUT -d 255.255.255.255/32 -o eth1 -j ACCEPT
-A OUTPUT -s 85.233.83.XX/32 -o eth1 -j ACCEPT
-A OUTPUT -s 85.233.83.127/32 -o eth1 -j ACCEPT
-A OUTPUT -d 224.0.0.1/32 -j DROP
-A OUTPUT -j LOG
-A OUTPUT -j DROP
COMMIT
# Completed on Mon Aug 10 16:34:52 2009
# Generated by iptables-save v1.4.1.1 on Mon Aug 10 16:34:52 2009
*nat
:PREROUTING ACCEPT [27:1805]
:POSTROUTING ACCEPT [14:983]
:OUTPUT ACCEPT [12:855]
-A PREROUTING -s 85.233.83.XX/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.3.151:3389
-A POSTROUTING -s 192.168.3.0/24 -o eth1 -j SNAT --to-source 85.233.83.57
COMMIT
# Completed on Mon Aug 10 16:34:52 2009

terrible_user · « **Ответ #1 :** 10 Августа 2009, 20:44:07 »

Ты уверен что при загрузке и когда ты руками восстанавливаешь - применяется один и тот же конфиг?
Во вторых из все ты разрешаешь

Код: [Выделить]

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 3389 -j ACCEPT

И где тут почта и пинги во внешний мир?

xazrad · « **Ответ #2 :** 10 Августа 2009, 21:24:31 »

вот этим я разрешаю все
-A POSTROUTING -s 192.168.3.0/24 -o eth1 -j SNAT --to-source 85.233.83.57

Nickollla · « **Ответ #3 :** 11 Августа 2009, 00:56:09 »

Цитата: xazrad от 10 Августа 2009, 21:24:31

вот этим я разрешаю все
-A POSTROUTING -s 192.168.3.0/24 -o eth1 -j SNAT --to-source 85.233.83.57

Terrible_user дело тебе говорит. Таблицы нат не занимаются маршрутизацией до Построутинг вообще пакеты не доходят . Вот тут хороший ман http://www.opennet.ru/docs/RUS/iptables/#TRAVERSINGOFTABLES . Там есть таблица прохождения транзитных пакетов почитаешь и станет все ясно

Форум русскоязычного сообщества Ubuntu

Автор Тема: переброс портов iptables (Прочитано 1573 раз)

xazrad

переброс портов iptables

terrible_user

Re: переброс портов iptables

xazrad

Re: переброс портов iptables

Nickollla

Re: переброс портов iptables