iptables автозагрузка и проброс пакетов

[malartem]

У меня есть пара вопросов.
есть ubuntu server настроен как шлюз (все работает)
eth0 192.168.0.5 (инет)
eth1 192.168.1.1 (локальная сеть)
1. не могу заставить iptables грузиться из файла... что только не делал... прописывал файл в интерфейсах в init.d (pre-up iptables-restore < /etc/iptables.rules) ничего не помогает. грузит некий свой и хоть ты тресни. Пытался даже в WEBMINE но и там ниче не получилось.
не могу пробросить порты на внутреннюю сеть.
2. нужно пробросить пару портов из внешней сети. побывал все и Iptables и Rinetd (второго мне бы хватило, но и он не работает)

Скажу сразу искал долго, прочитал много... воюю с ним уже 2-ую неделю..

[AnrDaemon]

Прошерсти подкаталоги в /etc/networking/
И удали всякие помогалки типа ufw и firestarter.
Тогда будет грузиться твоя таблица.

[malartem]

ничего из вышесказанного в /etc/network/ не обнаружено
Пользователь решил продолжить мысль 06 Октября 2009, 08:21:22:на всякий мои интерфейсы
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
        address 192.168.0.5
        netmask 255.255.255.0
        network 192.168.0.0
        broadcast 192.168.0.255
        gateway 192.168.0.2
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 192.168.0.2
auto eth1
iface eth1 inet static
address 192.168.1.1
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255
pre-up iptables-restore < /etc/iptables.rules.save


и /etc/iptables.rules.save
# Generated by iptables-save v1.4.1.1 on Tue Oct  6 10:03:26 2009
*mangle
:PREROUTING ACCEPT [1880:329174]
:INPUT ACCEPT [1843:327242]
:FORWARD ACCEPT [37:1932]
:OUTPUT ACCEPT [1884:376387]
:POSTROUTING ACCEPT [1839:373079]
COMMIT
# Completed on Tue Oct  6 10:03:26 2009
# Generated by iptables-save v1.4.1.1 on Tue Oct  6 10:03:26 2009
*filter
:INPUT DROP [125:9816]
:FORWARD DROP [37:1932]
:OUTPUT DROP [34:2212]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.2.0/24 -i eth1 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p icmp -j ACCEPT
COMMIT
# Completed on Tue Oct  6 10:03:26 2009
# Generated by iptables-save v1.4.1.1 on Tue Oct  6 10:03:26 2009
*nat
:PREROUTING ACCEPT [238:17436]
:POSTROUTING ACCEPT [6:1036]
:OUTPUT ACCEPT [79:5392]
-A PREROUTING -s 192.168.2.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Oct  6 10:03:26 2009

Пользователь решил продолжить мысль 06 Октября 2009, 10:23:41:Автозагрузки нет!!!!

[Frank]

А с чего оно должно работать, если вы сначала грузите правила при нерабочем интерфейсе (pre-up), а затем только подымаете интерфейс...
Попробуйте post-up.

[malartem]

и опять тишина
изменил везде и в interface и в init.d/networking
Пользователь решил продолжить мысль 06 Октября 2009, 09:51:06:правила на проброс во внутреннюю(192.168.1.10) сеть тоже не работают
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.11 --dport 3389 -j DNAT --to-destination 192.168.1.10:3389
iptables -A FORWARD -i eth1 -d 192.168.1.10 -p tcp --dport 3389 -j ACCEPT

Пользователь решил продолжить мысль 06 Октября 2009, 15:03:54:немного поправил правила, чтоб в iptables новые правила были перед правилами на отброс
но опять ничего не сработало..
iptables -t nat -I PREROUTING -p tcp -d 192.168.0.16 --dport 3389 -j DNAT --to-destination 192.168.1.10:3389
iptables -I FORWARD -i eth1 -d 192.168.1.10 -p tcp --dport 3389 -j ACCEPT


ЛЮДИ ГОРЮ ПОМОГИТЕ

[alexander.pronin]

а где шлюз (bridge) ?
Без шлюза вода не потечет из одного корыта в другое.
Пользователь решил продолжить мысль 06 Октября 2009, 15:44:14:Для примера
al@ubuntu-desktop1:~$ cat /etc/network/interfaces
# определяю морду лица
#auto eth0
#iface eth0 inet manual

#определяю фейс моста
auto br0
iface br0 inet dhcp

# iface br0 inet static
# address 192.168.48.3
# netmask 255.255.255.0
# gateway 192.168.48.254

#создание моста между мордой лица и и всеми мыслимыми vboxами
bridge_ports eth0 vbox0 vbox1 vbox2 vbox3 vbox4

# это уже было по умолчанию
auto lo
iface lo inet loopback

al@ubuntu-desktop1:~$

[malartem]

на сколько я понимаю это bridge для связи virtual box и локальных соединений
но по моему для меня это не актуально...
у меня сам комп является шлюзом (squid+iptables)
Пользователь решил продолжить мысль 06 Октября 2009, 14:17:23:добил к еще одно правило.. получилось так
iptables -t nat -I PREROUTING -p tcp -d 192.168.0.16 --dport 3389 -j DNAT --to-destination 192.168.1.10:3389
iptables -t nat -I POSTROUTING -p tcp -d 192.168.1.10 --dport 3389 -j SNAT --to-source 192.168.1.1
iptables -I FORWARD -i eth1 -d 192.168.1.10 -p tcp --dport 3389 -j ACCEPT
результат не изменился
Пользователь решил продолжить мысль 06 Октября 2009, 16:35:43:первый вопрос решен
автозагрузка iptables 
iptables-save -c >  /etc/iptables-save
в файле /etc/rc.local перед строкой exit 0 пишешь cat /etc/iptables-save | iptables-restore -c



НО КАК ПРОБРОСИТЬ УВЫ НЕ ПОЙМУ.....
ПОМОГИТЕ ЛЮДИ ДОБРЫЕ