iptables-save
# Generated by iptables-save v1.4.4 on Thu Aug 5 11:38:55 2010
*nat
:PREROUTING ACCEPT [499835:58675699]
:POSTROUTING ACCEPT [219541:14076824]
:OUTPUT ACCEPT [288951:18628599]
-A PREROUTING -d INET_IP/32 -i ppp0 -p tcp -m tcp --dport 6112 -j DNAT --to-destination 192.168.0.201:6112
-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j SNAT --to-source INET_IP
COMMIT
# Completed on Thu Aug 5 11:38:55 2010
# Generated by iptables-save v1.4.4 on Thu Aug 5 11:38:55 2010
*mangle
:PREROUTING ACCEPT [15096928:8046136943]
:INPUT ACCEPT [10728589:7340636585]
:FORWARD ACCEPT [4367588:705414741]
:OUTPUT ACCEPT [10453805:7668635325]
:POSTROUTING ACCEPT [14726049:8368646585]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Thu Aug 5 11:38:55 2010
# Generated by iptables-save v1.4.4 on Thu Aug 5 11:38:55 2010
*filter
:INPUT DROP [18960:1133039]
:FORWARD DROP [675:37080]
:OUTPUT DROP [86:10914]
-A INPUT -p udp -j ACCEPT
-A INPUT -s 192.168.0.0/24 -m state --state NEW -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A FORWARD -i eth4 -p tcp -m tcp --dport 3128 -j ACCEPT
-A FORWARD -p udp -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.88/32 -p tcp -m multiport --sports 110,25 -j ACCEPT
-A FORWARD -s 192.168.0.88/32 -p tcp -m multiport --dports 110,25 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 6112 -j ACCEPT
-A FORWARD -p tcp -m tcp --sport 6112 -j ACCEPT
-A FORWARD -s 192.168.0.88/32 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.0.88/32 -p tcp -m tcp --sport 3389 -j ACCEPT
-A FORWARD -d 192.168.0.20/32 -p tcp -m multiport --sports 110,25 -j ACCEPT
-A FORWARD -s 192.168.0.20/32 -p tcp -m multiport --dports 110,25 -j ACCEPT
-A OUTPUT -p udp -j ACCEPT
-A OUTPUT -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT
COMMIT
# Completed on Thu Aug 5 11:38:55 2010
если не поможет то:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROPна ACCEPT поменять, чисто для проверки.
по пробовал 
не помогло
Ну тогда вообще странно.
Возможно твой "варик" (это Warcraft или что?) соединяется не только по TCP. 
Warcraft 3 TFT по умолчанию использует 6112 порт
цепочки input и output по сути тут вообще нас не волнуют ибо пакеты назначающиеся не локальному компу идут в сеть, а за проход отвечает forward.
насколько я знаю открывая порты в forward я разрешаю пакетам ходить по этим портам НО т.к. пакеты идут в инет не напрямую а через комп - маршрутизатор ip подменяеться (я могу до мира дозвониться и мир мне ответит но ответ до меня не дойдет а завязнет на маршрутизаторе)
чтоб выкинуть машину в инет и нужен nat и цепочки input output тут не причем
по правьте если ошибаюсь
адреса правильные? т.е. варик на втором компе ...201, а rdp на третем ...88
Конечно
по идее должно происходить следующее
создал игру - порт начал ждать подключений - ктото ломится - инициируется новое соединение - подключивщийся виден в списке игроков
sudo netstat -anp --udp --tcp | grep LISTEN
показывает 6112 порт
вот соединение то походу и не устанавниваеться (хоть порт и открыт ..)
как отследить пакеты ... (что с ними сделал маршрутизатор приминил snat dnat drop accept и.т.д.) ктонить знает?
http://us.blizzard.com/support/article.xml?locale=en_US&articleId=21109вот нарыл
- Allow port 6112 TCP out and allow established sessions in
- Allow port 6112 TCP in (hosting custom games)
- Allow port 6113-6119 TCP out and in (hosting custom games if you've changed the default port in the Options/Gameplay screen)
открыл 6112:6119
Используеться только 6112
Вот смог отследить tcpdump -i any port 6112
12:38:27.526883 IP pppoe-188-187-26-50.volgograd.ertelecom.ru.3671 > INET.6112: Flags [S], seq 1591464184, win 65535, options [mss 1426,nop,nop,sackOK], length 0
12:38:27.526901 IP pppoe-188-187-26-50.volgograd.ertelecom.ru.3671 > 192.168.0.201.6112: Flags [S], seq 1591464184, win 65535, options [mss 1426,nop,nop,sackOK], length 0
12:38:27.527132 IP 192.168.0.201.6112 > pppoe-188-187-26-50.volgograd.ertelecom.ru.3671: Flags [S.], seq 1553250512, ack 1591464185, win 5840, options [mss 1460,nop,nop,sackOK], length 0
12:38:27.527146 IP INET.6112 > pppoe-188-187-26-50.volgograd.ertelecom.ru.3671: Flags [S.], seq 1553250512, ack 1591464185, win 5840, options [mss 1452,nop,nop,sackOK], length 0
12:38:27.625840 IP pppoe-188-187-26-50.volgograd.ertelecom.ru.3671 > INET.6112: Flags [.], ack 1, win 65535, length 0
12:38:27.625849 IP pppoe-188-187-26-50.volgograd.ertelecom.ru.3671 > 192.168.0.201.6112: Flags [.], ack 1, win 65535, length 0
12:38:27.638292 IP pppoe-188-187-26-50.volgograd.ertelecom.ru.3671 > INET.6112: Flags [P.], seq 1:54, ack 1, win 65535, length 53
12:38:27.638300 IP pppoe-188-187-26-50.volgograd.ertelecom.ru.3671 > 192.168.0.201.6112: Flags [P.], seq 1:54, ack 1, win 65535, length 53
12:38:27.638496 IP 192.168.0.201.6112 > pppoe-188-187-26-50.volgograd.ertelecom.ru.3671: Flags [.], ack 54, win 5840, length 0
12:38:27.638503 IP INET.6112 > pppoe-188-187-26-50.volgograd.ertelecom.ru.3671: Flags [.], ack 54, win 5840, length 0
12:38:37.694924 IP pppoe-188-187-26-50.volgograd.ertelecom.ru.3671 > INET.6112: Flags [R.], seq 54, ack 1, win 0, length 0
12:38:37.694934 IP pppoe-188-187-26-50.volgograd.ertelecom.ru.3671 > 192.168.0.201.6112: Flags [R.], seq 54, ack 1, win 0, length 0
я в этой части не особо начитан но явно что до меня долбятся и до долбиться не могут (сорее всего осуществляется несколько попыток соединения) ибо ко мне пакетов приходит больше а ответов от меня совсем мало
Тема: помогите пожалуйста допилить nat iptables (Прочитано 1195 раз)
