Помогите разобраться с iptables

[AnrDaemon]

Тогда просто вместо
-A PREROUTING -d AA.BB.CC.DD/32 -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.0.1
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m tcp --dport 53 -j DNAT --to-destination 192.168.0.1
в NAT

пишешь в filter
-A INPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT

[tagilchanin]

Тогда просто вместо
-A PREROUTING -d AA.BB.CC.DD/32 -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.0.1
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m tcp --dport 53 -j DNAT --to-destination 192.168.0.1
в NAT

пишешь в filter
-A INPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT

Прописал твои правила. Делаю nmap с другого сервера показыват что порт 53 tcp закрыт

(Нажмите, чтобы показать/скрыть)

nmap mail.mydomain.ru -p 53

Starting Nmap 4.76 ( http://nmap.org ) at 2010-11-30 17:37 MSK
Interesting ports on mail.mydomain.ru (AA.BB.CC.DD):
PORT   STATE  SERVICE
53/tcp closed domain

Nmap done: 1 IP address (1 host up) scanned in 0.19 seconds

[AnrDaemon]

iptables-save покажи, чего ты там прописал.
И, у тебя вообще есть чему слушать на 53/tcp ?
DNS обычно на udp работает.

[tagilchanin]

iptables-save

(Нажмите, чтобы показать/скрыть)

iptables-save
# Generated by iptables-save v1.4.1.1 on Tue Nov 30 17:52:08 2010
*nat
:PREROUTING ACCEPT [19057:1255439]
:POSTROUTING ACCEPT [6905:466938]
:OUTPUT ACCEPT [6660:449858]
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m multiport --dports 21,22,25,80,81,143,465,995,9090,5222,5223 -j DNAT --to-destination 192.168.0.1
-A PREROUTING -d ! 192.168.0.129/32 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.9:8080
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m tcp --dport 4899 -j DNAT --to-destination 192.168.0.59:4899
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m tcp --dport 4891 -j DNAT --to-destination 192.168.0.157:4891
-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j SNAT --to-source AA.BB.CC.DD
COMMIT
# Completed on Tue Nov 30 17:52:08 2010
# Generated by iptables-save v1.4.1.1 on Tue Nov 30 17:52:08 2010
*filter
:INPUT ACCEPT [17176:5562688]
:FORWARD ACCEPT [72643:14247108]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i eth0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -s 192.168.0.9/32 -j ACCEPT
-A OUTPUT -s AA.BB.CC.DD/32 -j ACCEPT
COMMIT
# Completed on Tue Nov 30 17:52:08 2010
# Generated by iptables-save v1.4.1.1 on Tue Nov 30 17:52:08 2010
*mangle
:PREROUTING ACCEPT [907161:652095174]
:INPUT ACCEPT [436281:309637844]
:FORWARD ACCEPT [469549:342030918]
:OUTPUT ACCEPT [384532:312928718]
:POSTROUTING ACCEPT [854099:654961921]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Tue Nov 30 17:52:08 2010

[AnrDaemon]

(Нажмите, чтобы показать/скрыть)

*mangle
:PREROUTING ACCEPT [1183124:941726775]
:INPUT ACCEPT [208375:124806127]
:FORWARD ACCEPT [973785:816454912]
:OUTPUT ACCEPT [197122:135517827]
:POSTROUTING ACCEPT [1170930:951975649]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT

*nat
:PREROUTING ACCEPT [23447:1584533]
:POSTROUTING ACCEPT [8654:577132]
:OUTPUT ACCEPT [8447:561564]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m multiport --dports 21,22,25,80,81,143,465,995,9090,5222,5223 -j DNAT --to-destination 192.168.0.1
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.9:8080
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m tcp --dport 4899 -j DNAT --to-destination 192.168.0.59:4899
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m tcp --dport 4891 -j DNAT --to-destination 192.168.0.157:4891
-A PREROUTING -i eth0 ! -d <localIP> -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j SNAT --to-source AA.BB.CC.DD
COMMIT

*filter
:INPUT DROP [3717:1104377]
:FORWARD DROP [8851:1775097]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i eth0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -i eth0 -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
COMMIT

Сорани в файл, запусти
iptables-restore < файлик
Я даже не буду говорит, где и что именно в твоих таблицах бредово. В основном раздражает дикое количество не имеющих смысла правил.

[tagilchanin]

(Нажмите, чтобы показать/скрыть)

*mangle
:PREROUTING ACCEPT [1183124:941726775]
:INPUT ACCEPT [208375:124806127]
:FORWARD ACCEPT [973785:816454912]
:OUTPUT ACCEPT [197122:135517827]
:POSTROUTING ACCEPT [1170930:951975649]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT

*nat
:PREROUTING ACCEPT [23447:1584533]
:POSTROUTING ACCEPT [8654:577132]
:OUTPUT ACCEPT [8447:561564]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m multiport --dports 21,22,25,80,81,143,465,995,9090,5222,5223 -j DNAT --to-destination 192.168.0.1
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.9:8080
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m tcp --dport 4899 -j DNAT --to-destination 192.168.0.59:4899
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m tcp --dport 4891 -j DNAT --to-destination 192.168.0.157:4891
-A PREROUTING -i eth0 ! -d <localIP> -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j SNAT --to-source AA.BB.CC.DD
COMMIT

*filter
:INPUT DROP [3717:1104377]
:FORWARD DROP [8851:1775097]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i eth0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -i eth0 -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
COMMIT

Сорани в файл, запусти
iptables-restore < файлик
Я даже не буду говорит, где и что именно в твоих таблицах бредово. В основном раздражает дикое количество не имеющих смысла правил.

Например покажи, т.с. что бы больше не плодить. Я все понимаю что достал, но хочется понять.

[AnrDaemon]

Стоит OUTPUT ACCEPT и в OUTPUT три правила разрешающих ещё что-то дополнительно.
В остальном, каюсь, ты всё почистил.

[tagilchanin]

Стоит OUTPUT ACCEPT и в OUTPUT три правила разрешающих ещё что-то дополнительно.
В остальном, каюсь, ты всё почистил.

Это пока стоит в ACCEPT из-за того что у нас vlan настроена телефония.

[AnrDaemon]

Стоит OUTPUT ACCEPT и в OUTPUT три правила разрешающих ещё что-то дополнительно.
В остальном, каюсь, ты всё почистил.

Это пока стоит в ACCEPT из-за того что у нас vlan настроена телефония.

OUTPUT BLOCK почти всегда означает ошибку в настройке.

[tagilchanin]

Стоит OUTPUT ACCEPT и в OUTPUT три правила разрешающих ещё что-то дополнительно.
В остальном, каюсь, ты всё почистил.

Это пока стоит в ACCEPT из-за того что у нас vlan настроена телефония.

OUTPUT BLOCK почти всегда означает ошибку в настройке.

Согласен мой косяк, поправил, убрал лишнее. Теперь все вот так:

(Нажмите, чтобы показать/скрыть)

iptables-save
# Generated by iptables-save v1.4.1.1 on Tue Nov 30 18:29:17 2010
*nat
:PREROUTING ACCEPT [1711:110689]
:POSTROUTING ACCEPT [407:27394]
:OUTPUT ACCEPT [390:26374]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m multiport --dports 21,22,25,80,81,143,465,995,9090,5222,5223 -j DNAT --to-destination 192.168.0.1
-A PREROUTING -d ! 192.168.0.129/32 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.9:8080
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m tcp --dport 4899 -j DNAT --to-destination 192.168.0.59:4899
-A PREROUTING -d AA.BB.CC.DD/32 -p tcp -m tcp --dport 4891 -j DNAT --to-destination 192.168.0.157:4891
-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j SNAT --to-source AA.BB.CC.DD
COMMIT
# Completed on Tue Nov 30 18:29:17 2010
# Generated by iptables-save v1.4.1.1 on Tue Nov 30 18:29:17 2010
*filter
:INPUT ACCEPT [1325:424476]
:FORWARD ACCEPT [228:31238]
:OUTPUT ACCEPT [56513:50331166]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i eth0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
COMMIT
# Completed on Tue Nov 30 18:29:17 2010
# Generated by iptables-save v1.4.1.1 on Tue Nov 30 18:29:17 2010
*mangle
:PREROUTING ACCEPT [122391:102607033]
:INPUT ACCEPT [60518:49974863]
:FORWARD ACCEPT [61662:52601914]
:OUTPUT ACCEPT [56525:50333406]
:POSTROUTING ACCEPT [118187:102935320]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Tue Nov 30 18:29:17 2010

[AnrDaemon]

Вот эти два правила

-A INPUT -i ppp0 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP

я бы вообще убрал.
Разве что вас будут усиленно досить - тогда можно искать решения по минимизации издержек.

[tagilchanin]

Вот эти два правила

-A INPUT -i ppp0 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP

я бы вообще убрал.
Разве что вас будут усиленно досить - тогда можно искать решения по минимизации издержек.

Понял. Поправлю. Спасибо большое за помощь.

Последний вопросик. Что бы пробросить порт внутрь сети мне необходимо добавлять правила в цепочку FORWARD?

[AnrDaemon]

Нет. В nat/PREROUTING
В filter/FORWARD уже стоит правило (два правила, но не суть), разрешающее прохождение перенаправленных пакетов. (Какие именно - домашнее задание )

[tagilchanin]

Нет. В nat/PREROUTING
В filter/FORWARD уже стоит правило (два правила, но не суть), разрешающее прохождение перенаправленных пакетов. (Какие именно - домашнее задание )

Суть понял. Спасибо большое. Буду изучать iptables.