Проброс порта через iptables

[Veter9]

Добрый день.
Имеется Ubuntu 10.10 шлюз с двумя сетевыми интерфейсами.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

user1@mailserver:~$ cat /etc/network/interfaces

# The loopback network interface

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 86.***
netmask 255.255.255.224
gateway 86.***

auto eth1
iface eth1 inet static
address 10.0.0.1
netmask 255.255.255.0
network 10.0.0.0
post-up /etc/nat


На шлюзе службы DNS DHCP tftp postfix dovecot.

Содержимое /etc/nat

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]



SYSCTL="/sbin/sysctl -w"



IPT="/sbin/iptables"
IPTS="/sbin/iptables-save"
IPTR="/sbin/iptables-restore"

INET_IFACE="eth0"
INET_ADDRESS="86.***"
PORT_IN="10380"
PORT_OUT="80"
SERGEY="10.0.0.30"
LOCAL_IFACE="eth1"
LOCAL_IP="10.0.0.1"
LOCAL_NET="10.0.0.0/24"
LOCAL_BCAST="10.0.0.255"


LO_IFACE="lo"
LO_IP="127.0.0.1"

if [ "$1" = "save" ]
then
echo -n "Saving firewall to /etc/sysconfig/iptables ... "
$IPTS > /etc/sysconfig/iptables
echo "done"
exit 0
elif [ "$1" = "restore" ]
then
echo -n "Restoring firewall from /etc/sysconfig/iptables ... "
$IPTR < /etc/sysconfig/iptables
echo "done"
exit 0
fi


echo "Loading kernel modules ..."




/sbin/modprobe ip_tables

/sbin/modprobe ip_conntrack














/sbin/modprobe ip_nat_ftp

/sbin/modprobe ip_conntrack_ftp

/sbin/modprobe ip_conntrack_irc



if [ "$SYSCTL" = "" ]
then
    echo "1" > /proc/sys/net/ipv4/ip_forward
else
    $SYSCTL net.ipv4.ip_forward="1"
fi


if [ "$SYSCTL" = "" ]
then
    echo "1" > /proc/sys/net/ipv4/tcp_syncookies
else
    $SYSCTL net.ipv4.tcp_syncookies="1"
fi

if [ "$SYSCTL" = "" ]
then
    echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
else
    $SYSCTL net.ipv4.conf.all.rp_filter="1"
fi



if [ "$SYSCTL" = "" ]
then
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
else
    $SYSCTL net.ipv4.icmp_echo_ignore_broadcasts="1"
fi

if [ "$SYSCTL" = "" ]
then
    echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
else
    $SYSCTL net.ipv4.conf.all.accept_source_route="0"
fi


if [ "$SYSCTL" = "" ]
then
    echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects
else
    $SYSCTL net.ipv4.conf.all.secure_redirects="1"
fi

if [ "$SYSCTL" = "" ]
then
    echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
else
    $SYSCTL net.ipv4.conf.all.log_martians="1"
fi



echo "Flushing Tables ..."

$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t mangle -P PREROUTING ACCEPT
$IPT -t mangle -P OUTPUT ACCEPT

$IPT -F
$IPT -t nat -F
$IPT -t mangle -F

$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

if [ "$1" = "stop" ]
then
echo "Firewall completely flushed!  Now running with no firewall."
exit 0
fi




$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP


echo "Create and populate custom rule chains ..."


$IPT -N bad_packets


$IPT -N bad_tcp_packets


$IPT -N icmp_packets

$IPT -N udp_inbound

$IPT -N udp_outbound

$IPT -N tcp_inbound

$IPT -N tcp_outbound



$IPT -A bad_packets -p ALL -i $INET_IFACE -s $LOCAL_NET -j LOG \
    --log-prefix "fp=bad_packets:2 a=DROP "
$IPT -A bad_packets -p ALL -i $INET_IFACE -s $LOCAL_NET -j DROP

$IPT -A bad_packets -p ALL -m state --state INVALID -j LOG \
    --log-prefix "fp=bad_packets:1 a=DROP "

$IPT -A bad_packets -p ALL -m state --state INVALID -j DROP

$IPT -A bad_packets -p tcp -j bad_tcp_packets

$IPT -A bad_packets -p ALL -j RETURN


$IPT -A bad_tcp_packets -p tcp -i $LOCAL_IFACE -j RETURN


$IPT -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
    --log-prefix "fp=bad_tcp_packets:1 a=DROP "
$IPT -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL NONE -j LOG \
    --log-prefix "fp=bad_tcp_packets:2 a=DROP "
$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL NONE -j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL ALL -j LOG \
    --log-prefix "fp=bad_tcp_packets:3 a=DROP "
$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL ALL -j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG \
    --log-prefix "fp=bad_tcp_packets:4 a=DROP "
$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG \
    --log-prefix "fp=bad_tcp_packets:5 a=DROP "
$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,RST SYN,RST -j LOG \
    --log-prefix "fp=bad_tcp_packets:6 a=DROP "
$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG \
    --log-prefix "fp=bad_tcp_packets:7 a=DROP "
$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

$IPT -A bad_tcp_packets -p tcp -j RETURN


$IPT -A icmp_packets --fragment -p ICMP -j LOG \
    --log-prefix "fp=icmp_packets:1 a=DROP "
$IPT -A icmp_packets --fragment -p ICMP -j DROP

 $IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j LOG \
    --log-prefix "fp=icmp_packets:2 a=ACCEPT "
 $IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT


$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT




$IPT -A udp_inbound -p UDP -s 0/0 --destination-port 137 -j DROP
$IPT -A udp_inbound -p UDP -s 0/0 --destination-port 138 -j DROP

$IPT -A udp_inbound -p UDP -s 0/0 --destination-port 53 -j ACCEPT



$IPT -A udp_inbound -p UDP -j RETURN



$IPT -A udp_outbound -p UDP -s 0/0 -j ACCEPT




$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 80 -j ACCEPT

$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 21 -j ACCEPT

$IPT -A tcp_inbound -p TCP -s 0/0 --source-port 20 -j ACCEPT



$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 25 -j ACCEPT

$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 110 -j ACCEPT

$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 143 -j ACCEPT

$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 995 -j ACCEPT

$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 993 -j ACCEPT

$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 22 -j ACCEPT

$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 2525 -j ACCEPT






$IPT -t nat -A PREROUTING -d $INET_ADDRESS -p tcp --dport 10380 -j DNAT --to-destination 10.0.0.30:80



$IPT -A tcp_inbound -p TCP -j RETURN



$IPT -A tcp_outbound -p TCP -s 0/0 -j ACCEPT


echo "Process INPUT chain ..."

$IPT -A INPUT -p ALL -i $LO_IFACE -j ACCEPT

$IPT -A INPUT -p ALL -j bad_packets

$IPT -A INPUT -p ALL -d 224.0.0.1 -j DROP

$IPT -A INPUT -p ALL -i $LOCAL_IFACE -s $LOCAL_NET -j ACCEPT
$IPT -A INPUT -p ALL -i $LOCAL_IFACE -d $LOCAL_BCAST -j ACCEPT



$IPT -A INPUT -p ALL -i $INET_IFACE -m state --state ESTABLISHED,RELATED \
     -j ACCEPT

$IPT -A INPUT -p TCP -i $INET_IFACE -j tcp_inbound
$IPT -A INPUT -p UDP -i $INET_IFACE -j udp_inbound
$IPT -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

$IPT -A INPUT -m pkttype --pkt-type broadcast -j DROP

$IPT -A INPUT -j LOG --log-prefix "fp=INPUT:99 a=DROP "


echo "Process FORWARD chain ..."


$IPT -A FORWARD -p ALL -j bad_packets

$IPT -A FORWARD -p tcp -i $LOCAL_IFACE -j tcp_outbound

$IPT -A FORWARD -p udp -i $LOCAL_IFACE -j udp_outbound

$IPT -A FORWARD -p ALL -i $LOCAL_IFACE -j ACCEPT

$IPT -A FORWARD -i $INET_IFACE -m state --state ESTABLISHED,RELATED \
     -j ACCEPT

$IPT -A FORWARD -p tcp -i $INET_IFACE --destination-port 80 \
     --destination 10.0.0.30 -j ACCEPT

$IPT -A FORWARD -j LOG --log-prefix "fp=FORWARD:99 a=DROP "


echo "Process OUTPUT chain ..."


$IPT -A OUTPUT -m state -p icmp --state INVALID -j DROP

$IPT -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPT -A OUTPUT -p ALL -o $LO_IFACE -j ACCEPT

$IPT -A OUTPUT -p ALL -s $LOCAL_IP -j ACCEPT
$IPT -A OUTPUT -p ALL -o $LOCAL_IFACE -j ACCEPT

$IPT -A OUTPUT -p ALL -o $INET_IFACE -j ACCEPT

$IPT -A OUTPUT -j LOG --log-prefix "fp=OUTPUT:99 a=DROP "



echo "Load rules for nat table ..."






$IPT -t nat -A POSTROUTING -o $INET_IFACE \
     -j SNAT --to-source $INET_ADDRESS



echo "Load rules for mangle table ..."


Есть задача перекинуть  внешний порт 86***:10380   на внутренний 10.0.0.30:80

Делаю строчкой

Код: [Выделить]

$IPT -t nat -A PREROUTING -d $INET_ADDRESS -p tcp --dport 10380 -j DNAT --to-destination 10.0.0.30:80
У хоста 10.0.0.30 default gw 10.0.0.1
Изнутри сети 10.0.0.30 доступен. nmap 86.*** показывает,что порт 10380 и не открыт, как я понимаю.
 
Ну собственно не работает. Что я делаю не так? Куда копать?

UPD:
sudo iptables-save

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

user1@mailserver:~$ sudo iptables-save
[sudo] password for user1:
# Generated by iptables-save v1.4.4 on Tue Apr 12 15:53:35 2011
*mangle
:PREROUTING ACCEPT [501987:314828029]
:INPUT ACCEPT [1307020:429687331]
:FORWARD ACCEPT [24419006:18291025093]
:OUTPUT ACCEPT [54139:31184265]
:POSTROUTING ACCEPT [25399256:18857920360]
COMMIT
# Completed on Tue Apr 12 15:53:35 2011
# Generated by iptables-save v1.4.4 on Tue Apr 12 15:53:35 2011
*nat
:PREROUTING ACCEPT [16231:1472977]
:OUTPUT ACCEPT [4728:333759]
:POSTROUTING ACCEPT [1008:60464]
-A PREROUTING -d 86.***/32 -p tcp -m tcp --dport 10380 -j DNAT --to-destination 10.0.0.30:80
-A POSTROUTING -o eth0 -j SNAT --to-source 86.***
COMMIT
# Completed on Tue Apr 12 15:53:35 2011
# Generated by iptables-save v1.4.4 on Tue Apr 12 15:53:35 2011
*filter
:INPUT DROP [194:10162]
:FORWARD DROP [3:386]
:OUTPUT DROP [0:0]
:bad_packets - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_inbound - [0:0]
:tcp_outbound - [0:0]
:udp_inbound - [0:0]
:udp_outbound - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -j bad_packets
-A INPUT -d 224.0.0.1/32 -j DROP
-A INPUT -s 10.0.0.0/24 -i eth1 -j ACCEPT
-A INPUT -d 10.0.0.255/32 -i eth1 -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -j tcp_inbound
-A INPUT -i eth0 -p udp -j udp_inbound
-A INPUT -i eth0 -p icmp -j icmp_packets
-A INPUT -m pkttype --pkt-type broadcast -j DROP
-A INPUT -j LOG --log-prefix "fp=INPUT:99 a=DROP "
-A FORWARD -j bad_packets
-A FORWARD -i eth1 -p tcp -j tcp_outbound
-A FORWARD -i eth1 -p udp -j udp_outbound
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.0.0.30/32 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -j LOG --log-prefix "fp=FORWARD:99 a=DROP "
-A OUTPUT -p icmp -m state --state INVALID -j DROP
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 10.0.0.1/32 -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -j LOG --log-prefix "fp=OUTPUT:99 a=DROP "
-A bad_packets -s 10.0.0.0/24 -i eth0 -j LOG --log-prefix "fp=bad_packets:2 a=DROP "
-A bad_packets -s 10.0.0.0/24 -i eth0 -j DROP
-A bad_packets -m state --state INVALID -j LOG --log-prefix "fp=bad_packets:1 a=DROP "
-A bad_packets -m state --state INVALID -j DROP
-A bad_packets -p tcp -j bad_tcp_packets
-A bad_packets -j RETURN
-A bad_tcp_packets -i eth1 -p tcp -j RETURN
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "fp=bad_tcp_packets:1 a=DROP "
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG --log-prefix "fp=bad_tcp_packets:2 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LOG --log-prefix "fp=bad_tcp_packets:3 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG --log-prefix "fp=bad_tcp_packets:4 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j LOG --log-prefix "fp=bad_tcp_packets:5 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "fp=bad_tcp_packets:6 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j LOG --log-prefix "fp=bad_tcp_packets:7 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A bad_tcp_packets -p tcp -j RETURN
-A icmp_packets -p icmp -f -j LOG --log-prefix "fp=icmp_packets:1 a=DROP "
-A icmp_packets -p icmp -f -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j LOG --log-prefix "fp=icmp_packets:2 a=ACCEPT "
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 80 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 21 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --sport 20 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 25 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 110 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 143 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 995 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 993 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 22 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 2525 -j ACCEPT
-A tcp_inbound -p tcp -j RETURN
-A tcp_outbound -p tcp -j ACCEPT
-A udp_inbound -p udp -m udp --dport 137 -j DROP
-A udp_inbound -p udp -m udp --dport 138 -j DROP
-A udp_inbound -p udp -m udp --dport 53 -j ACCEPT
-A udp_inbound -p udp -j RETURN
-A udp_outbound -p udp -j ACCEPT
COMMIT
# Completed on Tue Apr 12 15:53:35 2011
user1@mailserver:~$


[absent]

forward забыли сделать ещё

upd. хотя пардон, строка
$IPT -A FORWARD -p tcp -i $INET_IFACE --destination-port 80 --destination 10.0.0.30 -j ACCEPT
присутствует

[fisher74]

Что я делаю не так? Куда копать?

Показываете действующие правила не так. Я даже листать эту простынку не стану.

Код: [Выделить]

sudo iptables-saveТак будет читабельней и явно видно, какие правила в работе

[Veter9]

Что я делаю не так? Куда копать?

Показываете действующие правила не так. Я даже листать эту простынку не стану.

Код: [Выделить]

sudo iptables-saveТак будет читабельней и явно видно, какие правила в работе

sudo iptables-save

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

user1@mailserver:~$ sudo iptables-save
[sudo] password for user1:
# Generated by iptables-save v1.4.4 on Tue Apr 12 15:53:35 2011
*mangle
:PREROUTING ACCEPT [501987:314828029]
:INPUT ACCEPT [1307020:429687331]
:FORWARD ACCEPT [24419006:18291025093]
:OUTPUT ACCEPT [54139:31184265]
:POSTROUTING ACCEPT [25399256:18857920360]
COMMIT
# Completed on Tue Apr 12 15:53:35 2011
# Generated by iptables-save v1.4.4 on Tue Apr 12 15:53:35 2011
*nat
:PREROUTING ACCEPT [16231:1472977]
:OUTPUT ACCEPT [4728:333759]
:POSTROUTING ACCEPT [1008:60464]
-A PREROUTING -d 86.***/32 -p tcp -m tcp --dport 10380 -j DNAT --to-destination 10.0.0.30:80
-A POSTROUTING -o eth0 -j SNAT --to-source 86.***
COMMIT
# Completed on Tue Apr 12 15:53:35 2011
# Generated by iptables-save v1.4.4 on Tue Apr 12 15:53:35 2011
*filter
:INPUT DROP [194:10162]
:FORWARD DROP [3:386]
:OUTPUT DROP [0:0]
:bad_packets - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_inbound - [0:0]
:tcp_outbound - [0:0]
:udp_inbound - [0:0]
:udp_outbound - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -j bad_packets
-A INPUT -d 224.0.0.1/32 -j DROP
-A INPUT -s 10.0.0.0/24 -i eth1 -j ACCEPT
-A INPUT -d 10.0.0.255/32 -i eth1 -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -j tcp_inbound
-A INPUT -i eth0 -p udp -j udp_inbound
-A INPUT -i eth0 -p icmp -j icmp_packets
-A INPUT -m pkttype --pkt-type broadcast -j DROP
-A INPUT -j LOG --log-prefix "fp=INPUT:99 a=DROP "
-A FORWARD -j bad_packets
-A FORWARD -i eth1 -p tcp -j tcp_outbound
-A FORWARD -i eth1 -p udp -j udp_outbound
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.0.0.30/32 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -j LOG --log-prefix "fp=FORWARD:99 a=DROP "
-A OUTPUT -p icmp -m state --state INVALID -j DROP
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 10.0.0.1/32 -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -j LOG --log-prefix "fp=OUTPUT:99 a=DROP "
-A bad_packets -s 10.0.0.0/24 -i eth0 -j LOG --log-prefix "fp=bad_packets:2 a=DROP "
-A bad_packets -s 10.0.0.0/24 -i eth0 -j DROP
-A bad_packets -m state --state INVALID -j LOG --log-prefix "fp=bad_packets:1 a=DROP "
-A bad_packets -m state --state INVALID -j DROP
-A bad_packets -p tcp -j bad_tcp_packets
-A bad_packets -j RETURN
-A bad_tcp_packets -i eth1 -p tcp -j RETURN
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "fp=bad_tcp_packets:1 a=DROP "
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG --log-prefix "fp=bad_tcp_packets:2 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LOG --log-prefix "fp=bad_tcp_packets:3 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG --log-prefix "fp=bad_tcp_packets:4 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j LOG --log-prefix "fp=bad_tcp_packets:5 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "fp=bad_tcp_packets:6 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j LOG --log-prefix "fp=bad_tcp_packets:7 a=DROP "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A bad_tcp_packets -p tcp -j RETURN
-A icmp_packets -p icmp -f -j LOG --log-prefix "fp=icmp_packets:1 a=DROP "
-A icmp_packets -p icmp -f -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j LOG --log-prefix "fp=icmp_packets:2 a=ACCEPT "
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 80 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 21 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --sport 20 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 25 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 110 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 143 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 995 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 993 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 22 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 2525 -j ACCEPT
-A tcp_inbound -p tcp -j RETURN
-A tcp_outbound -p tcp -j ACCEPT
-A udp_inbound -p udp -m udp --dport 137 -j DROP
-A udp_inbound -p udp -m udp --dport 138 -j DROP
-A udp_inbound -p udp -m udp --dport 53 -j ACCEPT
-A udp_inbound -p udp -j RETURN
-A udp_outbound -p udp -j ACCEPT
COMMIT
# Completed on Tue Apr 12 15:53:35 2011
user1@mailserver:~$

[AnrDaemon]

Ну, с начала.
-P OUTPUT DROP
почти всегда ошибочно.

-A FORWARD -d 10.0.0.30/32 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
замените на
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
и поставьте его сразу за
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
чтобы пакеты далеко не отходили.

[Humpty]

forward забыли сделать ещё

upd. хотя пардон, строка
$IPT -A FORWARD -p tcp -i $INET_IFACE --destination-port 80 --destination 10.0.0.30 -j ACCEPT
присутствует

попробуй
$iptables -I FORWARD 1 -p tcp -m tcp --dport 80 -d 10.0.0.30 -j ACCEPT
$iptables -I FORWARD 2 -p tcp  -s 10.0.0.30 -j ACCEPT

Ну, с начала.
-P OUTPUT DROP
почти всегда ошибочно.

Таки да, но тут оно вообще не причем, эти пакеты в OUTPUT никаким боком не попадут

[AnrDaemon]

Ну, с начала.
-P OUTPUT DROP
почти всегда ошибочно.

Таки да, но тут оно вообще не причем, эти пакеты в OUTPUT никаким боком не попадут

Знаю. Вы только первую строчку ответа читаете, или таки весь?

[Humpty]

Знаю. Вы только первую строчку ответа читаете, или таки весь?

Я все читаю.
поскольку никаких логов не приведено, то скорее всего пакеты гибнут в недрах bad_packets
А правила запутаны совершенно ужасно и ненужно, там не только к OUTPUT надо придираться.

[absent]

пробросил порт (стандартно: PREROUTING + FORWARD) на внутреннюю машину, по nmap извне порта не видно (кроме 22, может там какое хитрое сканирование надо делать..), через telnet извне соединение на проброшенный порт проходит нормально (на порту внутренней машины использовал nc для наглядности). так что может всё и так работало? 

[Veter9]

пробросил порт (стандартно: PREROUTING + FORWARD) на внутреннюю машину, по nmap извне порта не видно (кроме 22, может там какое хитрое сканирование надо делать..), через telnet извне соединение на проброшенный порт проходит нормально (на порту внутренней машины использовал nc для наглядности). так что может всё и так работало? 

У меня при Intense scan nmap +alltcp ports показывает, что порт 10380 filtered, в то время, как остальные open. То есть вероятно, что он все же открывается, но не доступен для общения

Все способы, описанные выше попробовал - ничего не помогло пока.
Какие еще варианты, способы нахождения причины проблемы?

[Humpty]

Какие еще варианты, способы нахождения причины проблемы?

Во-первых, поглядеть в логах, куда попадают эти пакеты. Если ничего нету, то брать tcpdump и смотреть. Но сначала

iptables -F
iptables -t nat -F
iptaples -P FORWARD (INPUT, OUTPUT)  ACCEPT
Потом
iptables -t nat -A PREROUTING -d $INET_ADDRESS -p tcp --dport 10380 -j DNAT --to-destination 10.0.0.30:80
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source $INET_ADDRESS
и смотреть заработает ли оно вообще.