iptables(помогите разобраться с правилами) на ubuntu10

[anotherone]

доброго времени суток!
помогите, пожалуйста, кто хорошо разбирается в iptables, не могу сам понять как правильно писать правила. (первый опыт) у меня на шлюзе еще будет примари dns(bind9)+apache\php\mysql+postfix, а пока я колбашусь, чтобы 192.168.0.2 получил инет и все "блага" локалки 10.0.0.0/8.
внешний ип статический.
cat /etc/network/interfaces

(Нажмите, чтобы показать/скрыть)

auto lo
iface lo inet loopback
auto eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
auto eth0
iface eth0 inet dhcp

auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig eth0 up # line maintained by pppoeconf
provider dsl-provider

схема сети   вот
разгуглил по правилам немного, настроил для самого шлюза, работает
не работает 192.168.0.2 т.е. не пойму с правилами, не пойму как правильно написать правила
вот рабочий конф для шлюза

(Нажмите, чтобы показать/скрыть)

WAN_ADDR=79.79.79.79
WAN_DEV=ppp0
LAN_DEV=eth0
LAN_DEV2=eth1
LAN_GATE=10.16.128.1
LAN_GATE2=192.168.0.1
LAN_SUBNET=10.0.0.0/8
LAN_SUBNET=192.168.0.0/24
#локальные
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m tcp -s 82.82.82.82 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
#нат
iptables -t nat -A POSTROUTING -o ${WAN_DEV} -j SNAT --to-source ${WAN_ADDR}
iptables -A FORWARD -i ${LAN_DEV} -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p icmp -s ${LAN_SUBNET} -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 53 -s ${LAN_SUBNET} -j ACCEPT
iptables -A FORWARD -p udp -m udp --dport 53 -s ${LAN_SUBNET} -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -s ${LAN_SUBNET} -j ACCEPT
#дроп
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP

т.е. как я сделал, добавил LAN_DEV2=eth1, добавил подсеть, и как я понимаю, например, с LAN_DEV2 идет http запрос и пакет нужно натить,   из цепочки prerouting -o т.к. он будет приходить сначала туда (проверял на пингах) т.е. так?:

Код: [Выделить]

iptables -t nat -A PREROUTING -o {LAN_DEV2} ...
опять же не понятно, а что если http запрос будет на сайт, который в сети 10.0.0.0/8
прост мне кажется я что то не улавливаю
кто-нибудь может объяснить?
пожалуйста
спасибо

з.ы. если лень писать, могу и в скайпе постучаться

[Гарри Кашпировский]

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADEИли вот так

Код: [Выделить]

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source ${eth0_addr}
iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to-source ${ppp0_addr}

[censor]

http://www.google.com/search?q=iptables+rus

[ValeryK]

webmin поставь на сервер, там правила легко и наглядно прописываются, потом посмотришь как они выглядат правильно когда все настроишь

[anotherone]

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADEИли вот так

Код: [Выделить]

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source ${eth0_addr}
iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to-source ${ppp0_addr}

через маскардинг не хочется делать, т.к. читал что больше ресурсов отжирает, а у меня еще здесь куча демонов должна будет работать
вобщем если я правильно понял, то нужно указывать ту цепочку из которой пакет должен выходить?
т.е. например как у меня

Код: [Выделить]

iptables -t nat -A POSTROUTING -o ${LAN_DEV} -j SNAT --to-source ${LAN_GATE}но всеравно не понятно, как, оно поймет куда натить в локальную сетку или наружу?

да и разве ет не через цепочку форвард должно делаться?
ведь этот трафик должен идти  на другой хост?
я запутался %(

[AnrDaemon]

через маскардинг не хочется делать, т.к. читал что больше ресурсов отжирает, а у меня еще здесь куча демонов должна будет работать

Это "больше" видно только под лупой.
Если у вас исходящий адрес меняется от подключения к подключению, вам только маскарад и поможет.

[anotherone]

ip статический

[Гарри Кашпировский]

Я просто оставлю это здесь
http://www.opennet.ru/docs/RUS/iptables/