сори, да я бегло посмотрел закопипастил прям так, потом уже увидел,
а дело в том, что я сам какраз с ноутбука ковыряюсь, через vnc, поэтому никакого мата связь просто рвется и все
сервер дома но на нем нет монитора, в случае проблемы приходится ребутить.
успел наковыряться вот только изменил кое что,
разрешил принимать все входящие с локальных интерфейсов, но есть проблема
#!/bin/sh
# удалить все действующие правила
iptables -F
iptables -X
# Правила по умолчанию
iptables -P INPUT DROP #Запрещаем все входящие!
iptables -P OUTPUT ACCEPT #Разрешаем все исходящие!
iptables -P FORWARD DROP #Запрещаем все проходящие (транзит)!
iptables -A INPUT -i lo -j ACCEPT
# Открываем порты
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 27005 -j ACCEPT
#Разрешим входящие соединения на маршрутизатор с внутренней сети (для управления)
iptables -A INPUT -i eth5 -j ACCEPT
iptables -A INPUT -i eth2 -j ACCEPT
#Разрешим перенаправление пакетов из внутренней сети во внешнюю для установки соединений и установленных соединений:
iptables -A FORWARD -i eth5 -j ACCEPT
iptables -A FORWARD -i eth2 -j ACCEPT
#Разрешим перенаправление пакетов из интернета во внутреннюю сеть только для установленных соединений:
iptables -A FORWARD -i eth3 -o eth5 --match state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth3 -o eth2 --match state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth3 --destination 93.100.174.198 --match state --state ESTABLISHED -j ACCEPT
# Masquerade.
iptables -t nat -A POSTROUTING -o eth3 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
без этой строки нет интернета на ноуте и компеiptables -A INPUT -i eth3 --destination 93.100.174.198 --match state --state ESTABLISHED -j ACCEPT
чето у меня мозг уже пухнет
что делать? и почему так?
Пользователь решил продолжить мысль 13 Апреля 2011, 18:37:04:
вот пожалуйсто
root@generalserver:/etc# sudo iptables-save
# Generated by iptables-save v1.4.4 on Wed Apr 13 18:35:35 2011
*nat
:PREROUTING ACCEPT [4802:313552]
:POSTROUTING ACCEPT [51:5024]
:OUTPUT ACCEPT [873:60372]
-A POSTROUTING -o eth3 -j MASQUERADE
-A POSTROUTING -o eth3 -j MASQUERADE
-A POSTROUTING -o eth3 -j MASQUERADE
-A POSTROUTING -o eth3 -j MASQUERADE
COMMIT
# Completed on Wed Apr 13 18:35:35 2011
# Generated by iptables-save v1.4.4 on Wed Apr 13 18:35:35 2011
*filter
:INPUT DROP [465:37720]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1509:470405]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 27005 -j ACCEPT
-A INPUT -i eth5 -j ACCEPT
-A INPUT -i eth2 -j ACCEPT
-A INPUT -d 93.100.174.198/32 -i eth3 -m state --state ESTABLISHED -j ACCEPT
-A FORWARD -i eth5 -j ACCEPT
-A FORWARD -i eth2 -j ACCEPT
-A FORWARD -i eth3 -o eth5 -m state --state ESTABLISHED -j ACCEPT
-A FORWARD -i eth3 -o eth2 -m state --state ESTABLISHED -j ACCEPT
COMMIT
# Completed on Wed Apr 13 18:35:35 2011
Пользователь решил продолжить мысль 13 Апреля 2011, 18:43:05:
при таком раскладе вродебы все работает, но помоему правила кривые, так ли это?