Нужна помощь с IPTABLES проброс портов

[AnrDaemon]

Garikus, есть разница между "ты объяснил, что хочешь сделать" и "я догадался, что ты имел в виду."
По твоим сообщениям, остаётся только догадываться. А раз так - читай пример, и въезжай сам.

[bocxod]

  накинулись на человека. Объясняй что куда.
А он в названии темы всё написал, проброс портов. Ему нужно выставить порт (не гейта, другой машины) наружу. Не?
А т,б что он, за каким то дешевым оборудованием провайдера (роутером) и iptables его не спасет если его машина не в DMZ роутера.

Я более честно мучаюсь с пробросом порта на торрент клиент (на виндовую машину за шлюзом).

Получается никак

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 55556 -d 192.168.2.1 -j DNAT --to-destination 192.168.2.63:55556
iptables -t nat -A PREROUTING -p udp -m udp --dport 55556 -d 192.168.2.1 -j DNAT --to-destination 192.168.2.63:55556
iptables -t nat -A POSTROUTING -p tcp -m tcp --dport 55556 -d 192.168.2.63 -j SNAT --to 192.168.2.1:55556
iptables -t nat -A POSTROUTING -p udp -m udp --dport 55556 -d 192.168.2.63 -j SNAT --to 192.168.2.1:55556
Я не понимаю какие интерфейсы указывать в (-d 192.168.2.1)
192.168.2.63  откуда надо выставить порт.

ifconfig

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr f4:6d:04:ee:46:f0
          inet addr:10.103.21.206  Bcast:10.103.21.255  Mask:255.255.254.0
          inet6 addr: fe80::f66d:4ff:feee:46f0/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:101617848 errors:0 dropped:0 overruns:0 frame:0
          TX packets:152067490 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:23434476138 (21.8 GiB)  TX bytes:216870251370 (201.9 GiB)
          Interrupt:28 Base address:0xe000

eth1      Link encap:Ethernet  HWaddr 00:21:91:1f:de:97
          inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::221:91ff:fe1f:de97/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6347219 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10548471 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3622969407 (3.3 GiB)  TX bytes:13723218534 (12.7 GiB)
          Interrupt:16

eth3      Link encap:Ethernet  HWaddr 00:48:54:89:c4:86
          inet addr:192.168.3.1  Bcast:192.168.3.255  Mask:255.255.255.0
          inet6 addr: fe80::248:54ff:fe89:c486/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1263 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2390 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:301980 (294.9 KiB)  TX bytes:677356 (661.4 KiB)
          Interrupt:19

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:712717 errors:0 dropped:0 overruns:0 frame:0
          TX packets:712717 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:3128432694 (2.9 GiB)  TX bytes:3128432694 (2.9 GiB)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:128.71.255.137  P-t-P:194.186.120.119  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1460  Metric:1
          RX packets:101513032 errors:0 dropped:0 overruns:0 frame:0
          TX packets:152081746 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:17907446803 (16.6 GiB)  TX bytes:208992317894 (194.6 GiB)

Дефолтные правила.

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.8 on Tue Jun 19 07:13:08 2012
*nat
:PREROUTING ACCEPT [4637:347745]
:POSTROUTING ACCEPT [1108:69972]
:OUTPUT ACCEPT [1108:69972]
:NAT_POSTROUTING_CHAIN - [0:0]
:NAT_PREROUTING_CHAIN - [0:0]
:POST_NAT_POSTROUTING_CHAIN - [0:0]
:POST_NAT_PREROUTING_CHAIN - [0:0]
-A PREROUTING -j NAT_PREROUTING_CHAIN
-A PREROUTING -j POST_NAT_PREROUTING_CHAIN
-A POSTROUTING -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A POSTROUTING -o ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A POSTROUTING -j NAT_POSTROUTING_CHAIN
-A POSTROUTING -s 192.168.3.0/24 ! -d 192.168.3.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.3.0/24 ! -d 192.168.3.0/24 -o ppp+ -j MASQUERADE
-A POSTROUTING -s 192.168.2.0/24 ! -d 192.168.2.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.2.0/24 ! -d 192.168.2.0/24 -o ppp+ -j MASQUERADE
-A POSTROUTING -j POST_NAT_POSTROUTING_CHAIN
COMMIT
# Completed on Tue Jun 19 07:13:08 2012
# Generated by iptables-save v1.4.8 on Tue Jun 19 07:13:08 2012
*mangle
:PREROUTING ACCEPT [6646013:5592792174]
:INPUT ACCEPT [3503838:2426166230]
:FORWARD ACCEPT [3142155:3166607784]
:OUTPUT ACCEPT [3181414:3210996367]
:POSTROUTING ACCEPT [6323603:6377609373]
-A PREROUTING -p tcp -m tcp --dport 20 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 21 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 22 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 23 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 25 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p udp -m udp --dport 53 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 67 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 80 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 110 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 113 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 123 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 143 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 443 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 993 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 995 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 1080 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 6000:6063 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 20 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 21 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 22 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 23 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 67 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 113 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 123 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 143 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 993 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 995 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 1080 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o eth0 -p tcp -m tcp --dport 6000:6063 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 20 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 21 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 22 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 23 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 25 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p udp -m udp --dport 53 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 67 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 80 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 110 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 113 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 123 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 143 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 443 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 993 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 995 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 1080 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 6000:6063 -j TOS --set-tos 0x08/0x3f
COMMIT
# Completed on Tue Jun 19 07:13:08 2012
# Generated by iptables-save v1.4.8 on Tue Jun 19 07:13:08 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:BASE_FORWARD_CHAIN - [0:0]
:BASE_INPUT_CHAIN - [0:0]
:BASE_OUTPUT_CHAIN - [0:0]
:DMZ_FORWARD_IN_CHAIN - [0:0]
:DMZ_FORWARD_OUT_CHAIN - [0:0]
:DMZ_INET_FORWARD_CHAIN - [0:0]
:DMZ_INPUT_CHAIN - [0:0]
:DMZ_LAN_FORWARD_CHAIN - [0:0]
:DMZ_OUTPUT_CHAIN - [0:0]
:EXT_FORWARD_IN_CHAIN - [0:0]
:EXT_FORWARD_OUT_CHAIN - [0:0]
:EXT_ICMP_FLOOD_CHAIN - [0:0]
:EXT_INPUT_CHAIN - [0:0]
:EXT_OUTPUT_CHAIN - [0:0]
:FORWARD_CHAIN - [0:0]
:HOST_BLOCK_DROP - [0:0]
:HOST_BLOCK_DST - [0:0]
:HOST_BLOCK_SRC - [0:0]
:INET_DMZ_FORWARD_CHAIN - [0:0]
:INPUT_CHAIN - [0:0]
:INT_FORWARD_IN_CHAIN - [0:0]
:INT_FORWARD_OUT_CHAIN - [0:0]
:INT_INPUT_CHAIN - [0:0]
:INT_OUTPUT_CHAIN - [0:0]
:LAN_INET_FORWARD_CHAIN - [0:0]
:OUTPUT_CHAIN - [0:0]
:POST_FORWARD_CHAIN - [0:0]
:POST_INPUT_CHAIN - [0:0]
:POST_INPUT_DROP_CHAIN - [0:0]
:POST_OUTPUT_CHAIN - [0:0]
:RESERVED_NET_CHK - [0:0]
:SPOOF_CHK - [0:0]
:VALID_CHK - [0:0]
-A INPUT -j BASE_INPUT_CHAIN
-A INPUT -j INPUT_CHAIN
-A INPUT -j HOST_BLOCK_SRC
-A INPUT -j SPOOF_CHK
-A INPUT -i eth0 -j VALID_CHK
-A INPUT -i eth0 ! -p icmp -m state --state NEW -j EXT_INPUT_CHAIN
-A INPUT -i eth0 -p icmp -m state --state NEW -m limit --limit 60/sec --limit-burst 100 -j EXT_INPUT_CHAIN
-A INPUT -i eth0 -p icmp -m state --state NEW -j EXT_ICMP_FLOOD_CHAIN
-A INPUT -i ppp+ -j VALID_CHK
-A INPUT -i ppp+ ! -p icmp -m state --state NEW -j EXT_INPUT_CHAIN
-A INPUT -i ppp+ -p icmp -m state --state NEW -m limit --limit 60/sec --limit-burst 100 -j EXT_INPUT_CHAIN
-A INPUT -i ppp+ -p icmp -m state --state NEW -j EXT_ICMP_FLOOD_CHAIN
-A INPUT -i eth1 -j INT_INPUT_CHAIN
-A INPUT -i eth3 -j INT_INPUT_CHAIN
-A INPUT -j POST_INPUT_CHAIN
-A INPUT -m limit --limit 1/sec -j LOG --log-prefix "AIF:Dropped INPUT packet: " --log-level 6
-A INPUT -j DROP
-A FORWARD -j BASE_FORWARD_CHAIN
-A FORWARD -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -j FORWARD_CHAIN
-A FORWARD -j HOST_BLOCK_SRC
-A FORWARD -j HOST_BLOCK_DST
-A FORWARD -i eth0 -j EXT_FORWARD_IN_CHAIN
-A FORWARD -o eth0 -j EXT_FORWARD_OUT_CHAIN
-A FORWARD -i ppp+ -j EXT_FORWARD_IN_CHAIN
-A FORWARD -o ppp+ -j EXT_FORWARD_OUT_CHAIN
-A FORWARD -i eth1 -j INT_FORWARD_IN_CHAIN
-A FORWARD -o eth1 -j INT_FORWARD_OUT_CHAIN
-A FORWARD -i eth3 -j INT_FORWARD_IN_CHAIN
-A FORWARD -o eth3 -j INT_FORWARD_OUT_CHAIN
-A FORWARD -j SPOOF_CHK
-A FORWARD -i eth1 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j LAN_INET_FORWARD_CHAIN
-A FORWARD -i eth1 -o ppp+ -j LAN_INET_FORWARD_CHAIN
-A FORWARD -i eth3 -o eth3 -j ACCEPT
-A FORWARD -i eth3 -o eth0 -j LAN_INET_FORWARD_CHAIN
-A FORWARD -i eth3 -o ppp+ -j LAN_INET_FORWARD_CHAIN
-A FORWARD -j POST_FORWARD_CHAIN
-A FORWARD -m limit --limit 1/min --limit-burst 3 -j LOG --log-prefix "AIF:Dropped FORWARD packet: " --log-level 6
-A FORWARD -j DROP
-A OUTPUT -j BASE_OUTPUT_CHAIN
-A OUTPUT -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -o ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -j OUTPUT_CHAIN
-A OUTPUT -j HOST_BLOCK_DST
-A OUTPUT -f -m limit --limit 3/min -j LOG --log-prefix "AIF:Fragment packet: " --log-level 6
-A OUTPUT -f -j DROP
-A OUTPUT -o eth0 -j EXT_OUTPUT_CHAIN
-A OUTPUT -o ppp+ -j EXT_OUTPUT_CHAIN
-A OUTPUT -o eth1 -j INT_OUTPUT_CHAIN
-A OUTPUT -o eth3 -j INT_OUTPUT_CHAIN
-A OUTPUT -j POST_OUTPUT_CHAIN
-A OUTPUT -j ACCEPT
-A BASE_FORWARD_CHAIN -m state --state ESTABLISHED -j ACCEPT
-A BASE_FORWARD_CHAIN -p tcp -m state --state RELATED -m tcp --dport 1024:65535 -j ACCEPT
-A BASE_FORWARD_CHAIN -p udp -m state --state RELATED -m udp --dport 1024:65535 -j ACCEPT
-A BASE_FORWARD_CHAIN -p icmp -m state --state RELATED -j ACCEPT
-A BASE_FORWARD_CHAIN -i lo -j ACCEPT
-A BASE_INPUT_CHAIN -m state --state ESTABLISHED -j ACCEPT
-A BASE_INPUT_CHAIN -p tcp -m state --state RELATED -m tcp --dport 1024:65535 -j ACCEPT
-A BASE_INPUT_CHAIN -p udp -m state --state RELATED -m udp --dport 1024:65535 -j ACCEPT
-A BASE_INPUT_CHAIN -p icmp -m state --state RELATED -j ACCEPT
-A BASE_INPUT_CHAIN -i lo -j ACCEPT
-A BASE_OUTPUT_CHAIN -m state --state ESTABLISHED -j ACCEPT
-A BASE_OUTPUT_CHAIN -o lo -j ACCEPT
-A EXT_FORWARD_IN_CHAIN -j VALID_CHK
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 3 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-unreachable flood: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 3 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 11 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-time-exceeded fld: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 11 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 12 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-param-problem fld: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 12 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-request(ping) fld: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 8 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 0 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-reply(pong) flood: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 0 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 4 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-source-quench fld: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 4 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP(other) flood: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0 -m limit --limit 6/hour --limit-burst 1 -j LOG --log-prefix "AIF:Port 0 OS fingerprint: " --log-level 6
-A EXT_INPUT_CHAIN -p udp -m udp --dport 0 -m limit --limit 6/hour --limit-burst 1 -j LOG --log-prefix "AIF:Port 0 OS fingerprint: " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p udp -m udp --dport 0 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p tcp -m tcp --sport 0 -m limit --limit 6/hour -j LOG --log-prefix "AIF:TCP source port 0: " --log-level 6
-A EXT_INPUT_CHAIN -p udp -m udp --sport 0 -m limit --limit 6/hour -j LOG --log-prefix "AIF:UDP source port 0: " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --sport 0 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p udp -m udp --sport 0 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 2929 -j ACCEPT
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 80 -j ACCEPT
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 55555 -j ACCEPT
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 58830:58840 -j ACCEPT
-A EXT_INPUT_CHAIN -p udp -m udp --dport 2929 -j ACCEPT
-A EXT_INPUT_CHAIN -p udp -m udp --dport 80 -j ACCEPT
-A EXT_INPUT_CHAIN -p udp -m udp --dport 55555 -j ACCEPT
-A EXT_INPUT_CHAIN -p udp -m udp --dport 58830:58840 -j ACCEPT
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 20/sec --limit-burst 100 -j ACCEPT
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-request: " --log-level 6
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 3 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-unreachable: " --log-level 6
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 11 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-time-exceeded: " --log-level 6
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 12 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-param.-problem: " --log-level 6
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 3 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 11 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 12 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 0 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth scan? (UNPRIV): " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0:1023 ! --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth scan? (PRIV): " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:PRIV connect attempt: " --log-level 6
-A EXT_INPUT_CHAIN -p udp -m udp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:PRIV connect attempt: " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 1024:65535 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:UNPRIV connect attempt: " --log-level 6
-A EXT_INPUT_CHAIN -p udp -m udp --dport 1024:65535 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:UNPRIV connect attempt: " --log-level 6
-A EXT_INPUT_CHAIN -j POST_INPUT_CHAIN
-A EXT_INPUT_CHAIN -p tcp -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p udp -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p icmp -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -m limit --limit 1/min -j LOG --log-prefix "AIF:Connect attempt: " --log-level 6
-A EXT_INPUT_CHAIN -j POST_INPUT_DROP_CHAIN
-A HOST_BLOCK_DROP -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "AIF:Blocked host(s): " --log-level 6
-A HOST_BLOCK_DROP -j DROP
-A INT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 20/sec --limit-burst 100 -j ACCEPT
-A INT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-request: " --log-level 6
-A INT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -j DROP
-A INT_INPUT_CHAIN -j ACCEPT
-A LAN_INET_FORWARD_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 20/sec --limit-burst 100 -j ACCEPT
-A LAN_INET_FORWARD_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-request: " --log-level 6
-A LAN_INET_FORWARD_CHAIN -p icmp -m icmp --icmp-type 8 -j DROP
-A LAN_INET_FORWARD_CHAIN -p tcp -j ACCEPT
-A LAN_INET_FORWARD_CHAIN -p udp -j ACCEPT
-A LAN_INET_FORWARD_CHAIN -j ACCEPT
-A POST_INPUT_DROP_CHAIN -j DROP
-A RESERVED_NET_CHK -s 10.0.0.0/8 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "AIF:Class A address: " --log-level 6
-A RESERVED_NET_CHK -s 172.16.0.0/12 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "AIF:Class B address: " --log-level 6
-A RESERVED_NET_CHK -s 192.168.0.0/16 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "AIF:Class C address: " --log-level 6
-A RESERVED_NET_CHK -s 169.254.0.0/16 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "AIF:Class M$ address: " --log-level 6
-A RESERVED_NET_CHK -s 224.0.0.0/24 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "AIF:Multicast address: " --log-level 6
-A RESERVED_NET_CHK -s 239.0.0.0/24 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "AIF:Multicast address: " --log-level 6
-A RESERVED_NET_CHK -s 10.0.0.0/8 -j POST_INPUT_DROP_CHAIN
-A RESERVED_NET_CHK -s 172.16.0.0/12 -j POST_INPUT_DROP_CHAIN
-A RESERVED_NET_CHK -s 192.168.0.0/16 -j POST_INPUT_DROP_CHAIN
-A RESERVED_NET_CHK -s 169.254.0.0/16 -j POST_INPUT_DROP_CHAIN
-A RESERVED_NET_CHK -s 224.0.0.0/24 -j POST_INPUT_DROP_CHAIN
-A RESERVED_NET_CHK -s 239.0.0.0/24 -j POST_INPUT_DROP_CHAIN
-A SPOOF_CHK -s 192.168.3.0/24 -i eth1 -j RETURN
-A SPOOF_CHK -s 192.168.3.0/24 -i eth3 -j RETURN
-A SPOOF_CHK -s 192.168.3.0/24 -m limit --limit 3/min -j LOG --log-prefix "AIF:Spoofed packet: " --log-level 6
-A SPOOF_CHK -s 192.168.3.0/24 -j POST_INPUT_DROP_CHAIN
-A SPOOF_CHK -s 192.168.2.0/24 -i eth1 -j RETURN
-A SPOOF_CHK -s 192.168.2.0/24 -i eth3 -j RETURN
-A SPOOF_CHK -s 192.168.2.0/24 -m limit --limit 3/min -j LOG --log-prefix "AIF:Spoofed packet: " --log-level 6
-A SPOOF_CHK -s 192.168.2.0/24 -j POST_INPUT_DROP_CHAIN
-A SPOOF_CHK -j RETURN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth XMAS scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth XMAS-PSH scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth XMAS-ALL scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth FIN scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth SYN/RST scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth SYN/FIN scan?: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth Null scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-option 64 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:Bad TCP flag(64): " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-option 128 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:Bad TCP flag(128): " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-option 64 -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-option 128 -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -m state --state INVALID -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -f -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:Fragment packet: "
-A VALID_CHK -f -j DROP
COMMIT
# Completed on Tue Jun 19 07:13:08 2012

[Garikus]

eth0      Link encap:Ethernet  HWaddr 50:e5:49:69:0b:dc 
          inet addr:192.168.0.2  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::52e5:49ff:fe69:bdc/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1753856 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1207864 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2161020994 (2.1 GB)  TX bytes:231867583 (231.8 MB)
          Interrupt:40 Base address:0x2000

eth1      Link encap:Ethernet  HWaddr 00:e0:52:c3:a2:f8 
          inet addr:10.10.0.1  Bcast:10.10.0.255  Mask:255.255.255.0
          inet6 addr: fe80::2e0:52ff:fec3:a2f8/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1032306 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1511465 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:95404747 (95.4 MB)  TX bytes:1994173435 (1.9 GB)
          Interrupt:16 Base address:0x6000

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:20 errors:0 dropped:0 overruns:0 frame:0
          TX packets:20 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1604 (1.6 KB)  TX bytes:1604 (1.6 KB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol) 
          inet addr:10.10.0.1  P-t-P:10.10.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1496  Metric:1
          RX packets:822 errors:0 dropped:0 overruns:0 frame:0
          TX packets:447 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:93807 (93.8 KB)  TX bytes:367244 (367.2 KB)

ppp1      Link encap:Протокол PPP (Point-to-Point Protocol) 
          inet addr:10.10.0.1  P-t-P:10.10.0.3  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1396  Metric:1
          RX packets:31356 errors:0 dropped:0 overruns:0 frame:0
          TX packets:33569 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:4981852 (4.9 MB)  TX bytes:11734853 (11.7 MB)

[fisher74]

bocxod,-d 10.103.21.206 и уберите SNAT из POSTROUTING
А по поводу Вашего негодования по поводу Объясняй что куда. Так в том-то и дело, что сетевые технолологии как рах это и имеют ввиду. И в них очень важно кто получатель пакетов, кто адресат и какие дороги к ним/между ними  проложены

Garikus,
что у Вас есть ppp0 и ppp1 и почему они совпадают с eth1? VPN-сервер?

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -d 192.168.0.2 –dport 3389 -j DNAT –to-destination 10.10.0.250:3389Это правило для проброса в Вашем случае верно. Разбирайтесь с другими правилами или с RDP-несущим компом. Я к тому, что показывайте все правила (iptables-save) на шлюзе, таблицу маршрутизации на 10.10.0.250
Кстати, а RDP_то точно активен?
Покажите выхлоп

Код: [Выделить]

nmap -P0 -p3389 10.10.0.250

[bocxod]

bocxod,-d 10.103.21.206 и уберите SNAT из POSTROUTING
А по поводу Вашего негодования по поводу Объясняй что куда. Так в том-то и дело, что сетевые технолологии как рах это и имеют ввиду. И в них очень важно кто получатель пакетов, кто адресат и какие дороги к ним/между ними  проложены

Как правильно тогда прописать?
Я про то что 10.103.21.206 адрес выданный провайдером по DHCP и он может меняться. Можно указать -i eth0 ?
А на негодование не обращайте внимание это скорее сарказм.
И простите как будет выглядеть результирующее правило для POSTROUTING ?
Пользователь решил продолжить мысль 19 Июня 2012, 08:40:11:Garikus, пожалуйста используйте спойлеры.

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 50:e5:49:69:0b:dc 
          inet addr:192.168.0.2  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::52e5:49ff:fe69:bdc/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1753856 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1207864 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2161020994 (2.1 GB)  TX bytes:231867583 (231.8 MB)
          Interrupt:40 Base address:0x2000

eth1      Link encap:Ethernet  HWaddr 00:e0:52:c3:a2:f8 
          inet addr:10.10.0.1  Bcast:10.10.0.255  Mask:255.255.255.0
          inet6 addr: fe80::2e0:52ff:fec3:a2f8/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1032306 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1511465 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:95404747 (95.4 MB)  TX bytes:1994173435 (1.9 GB)
          Interrupt:16 Base address:0x6000

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:20 errors:0 dropped:0 overruns:0 frame:0
          TX packets:20 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1604 (1.6 KB)  TX bytes:1604 (1.6 KB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol) 
          inet addr:10.10.0.1  P-t-P:10.10.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1496  Metric:1
          RX packets:822 errors:0 dropped:0 overruns:0 frame:0
          TX packets:447 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:93807 (93.8 KB)  TX bytes:367244 (367.2 KB)

ppp1      Link encap:Протокол PPP (Point-to-Point Protocol) 
          inet addr:10.10.0.1  P-t-P:10.10.0.3  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1396  Metric:1
          RX packets:31356 errors:0 dropped:0 overruns:0 frame:0
          TX packets:33569 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:4981852 (4.9 MB)  TX bytes:11734853 (11.7 MB)

[absent]

И простите как будет выглядеть результирующее правило для POSTROUTING ?

Не понятно зачем трогать POSTROUTING, ведь наверняка snat на локальную подсеть уже сделан. Или у Вас в локалке какая-то сложная маршрутизация? В общем случае проброс выполняется правилами в PREROUTING и, если зарезан forward, то ещё и в FORWARD.
и смотрите

Код: [Выделить]

iptables-save -с -t nat на предмет отработки правил.

[bocxod]

И простите как будет выглядеть результирующее правило для POSTROUTING ?

Не понятно зачем трогать POSTROUTING, ведь наверняка snat на локальную подсеть уже сделан. Или у Вас в локалке какая-то сложная маршрутизация? В общем случае проброс выполняется правилами в PREROUTING и, если зарезан forward, то ещё и в FORWARD.
и смотрите

Код: [Выделить]

iptables-save -с -t nat на предмет отработки правил.

Вопрос по результирующему правилу подразумевал что писать!
попробовал

iptables -t nat -A PREROUTING -p tcp -d 10.103.21.206 --dport 55556 -j DNAT --to-destination 192.168.2.63:55556
iptables -A FORWARD -i eth0 -d 192.168.2.63 -p tcp --dport 55556 -j ACCEPT

На момент вот так, на машине 192.168.2.63 порт закрыт.

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.8 on Tue Jun 19 09:12:31 2012
*nat
:PREROUTING ACCEPT [5152:376760]
:POSTROUTING ACCEPT [3442:218775]
:OUTPUT ACCEPT [3442:218775]
:NAT_POSTROUTING_CHAIN - [0:0]
:NAT_PREROUTING_CHAIN - [0:0]
:POST_NAT_POSTROUTING_CHAIN - [0:0]
:POST_NAT_PREROUTING_CHAIN - [0:0]
-A PREROUTING -j NAT_PREROUTING_CHAIN
-A PREROUTING -j POST_NAT_PREROUTING_CHAIN
-A PREROUTING -d 10.103.21.206/32 -p tcp -m tcp --dport 55556 -j DNAT --to-destination 192.168.2.63:55556
-A POSTROUTING -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A POSTROUTING -o ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A POSTROUTING -j NAT_POSTROUTING_CHAIN
-A POSTROUTING -s 192.168.3.0/24 ! -d 192.168.3.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.3.0/24 ! -d 192.168.3.0/24 -o ppp+ -j MASQUERADE
-A POSTROUTING -s 192.168.2.0/24 ! -d 192.168.2.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.2.0/24 ! -d 192.168.2.0/24 -o ppp+ -j MASQUERADE
-A POSTROUTING -j POST_NAT_POSTROUTING_CHAIN
COMMIT
# Completed on Tue Jun 19 09:12:31 2012

[fisher74]

Как правильно тогда прописать?

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 55556 -d 10.103.21.206 -j DNAT --to-destination 192.168.2.63:55556
iptables -t nat -A PREROUTING -p udp -m tcp --dport 55556 -d 10.103.21.206 -j DNAT --to-destination 192.168.2.63:55556


адрес выданный провайдером по DHCP и он может меняться. Можно указать -i eth0 ?

С DHCP не всё так просто. Его (ip-адрес) нужно будет динамически выдавливать и соответственно изменять правило.
Костыль -i eth0 боюсь не будет работать - сам не пробовал, но логика подсказывает, что могут быть проблемы.

И простите как будет выглядеть результирующее правило для POSTROUTING ?

и уберите SNAT из POSTROUTING

[bocxod]

iptables: Invalid argument. Run `dmesg' for more information.

dmesg у меня засорен информацией по логированым пакетам там черт ногу сломит 

Нашел ))) Во втором правиле очепятка там ))) Явно задан протокол не тот.

[fisher74]

ведь наверняка snat на локальную подсеть уже сделан

Это зачем это?
bocxod, угу, извините. Копипастил и упустил

[bocxod]

МюТоррент говорит порт закрыт. 2ip.ru до порта тоже не недостукивается.

Приблуда вроде arno-iptables-firewall мешать может?

[absent]

ведь наверняка snat на локальную подсеть уже сделан

Это зачем это?

если клиенты ходят через прокси, тогда конечно без надобности. иначе как они в интернет попадут? либо нат либо прокси

[Garikus]

Код: [Выделить]

Starting Nmap 5.21 ( http://nmap.org ) at 2012-06-19 12:00 YEKT
Nmap scan report for localhost (10.10.0.250)
Host is up (0.00066s latency).
PORT     STATE SERVICE
3389/tcp open  ms-term-serv

Nmap done: 1 IP address (1 host up) scanned in 0.07 seconds


# Generated by iptables-save v1.4.4 on Tue Jun 19 12:05:28 2012
*mangle
:PREROUTING ACCEPT [22165:13971739]
:INPUT ACCEPT [254072:74510881]
:FORWARD ACCEPT [4198604:3430987112]
:OUTPUT ACCEPT [2098:314812]
:POSTROUTING ACCEPT [4451930:3634096482]
COMMIT
# Completed on Tue Jun 19 12:05:28 2012
# Generated by iptables-save v1.4.4 on Tue Jun 19 12:05:28 2012
*nat
:PREROUTING ACCEPT [1455:124991]
:OUTPUT ACCEPT [97:6302]
:POSTROUTING ACCEPT [97:6302]
-A PREROUTING -d 192.168.0.2/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.10.0.54:3389
-A POSTROUTING -s 10.10.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.0.2/32 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.0.3/32 -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Jun 19 12:05:28 2012
# Generated by iptables-save v1.4.4 on Tue Jun 19 12:05:28 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [1:328]
:Nanny - [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.0/8 ! -i lo -j LOG
-A INPUT -s 127.0.0.0/8 ! -i lo -j DROP
-A INPUT -d 255.255.255.255/32 -i eth1 -j ACCEPT
-A INPUT -d 255.255.255.255/32 -i ppp0 -j ACCEPT
-A INPUT -d 255.255.255.255/32 -i ppp1 -j ACCEPT
-A INPUT -s 10.10.0.0/24 -i eth1 -j ACCEPT
-A INPUT -s 10.10.0.2/32 -i ppp0 -j ACCEPT
-A INPUT -s 10.10.0.3/32 -i ppp1 -j ACCEPT
-A INPUT -d 224.0.0.0/4 -i eth1 ! -p tcp -j ACCEPT
-A INPUT -d 224.0.0.0/4 -i ppp0 ! -p tcp -j ACCEPT
-A INPUT -d 224.0.0.0/4 -i ppp1 ! -p tcp -j ACCEPT
-A INPUT -s 10.10.0.0/24 -i eth0 -j LOG
-A INPUT -s 10.10.0.0/24 -i eth0 -j DROP
-A INPUT -s 10.10.0.1/32 -i eth0 -j LOG
-A INPUT -s 10.10.0.1/32 -i eth0 -j DROP
-A INPUT -s 10.10.0.1/32 -i eth0 -j LOG
-A INPUT -s 10.10.0.1/32 -i eth0 -j DROP
-A INPUT -d 255.255.255.255/32 -i eth0 -j ACCEPT
-A INPUT -d 192.168.0.2/32 -i eth0 -j ACCEPT
-A INPUT -d 192.168.0.255/32 -i eth0 -j ACCEPT
-A INPUT -j LOG
-A INPUT -j DROP
-A FORWARD -s 10.10.0.2/32 -d 10.10.0.0/24 -j ACCEPT
-A FORWARD -d 10.10.0.2/32 -j ACCEPT
-A FORWARD -s 10.10.0.1/32 -d 10.10.0.0/24 -j ACCEPT
-A FORWARD -s 10.10.0.3/32 -d 10.10.0.0/24 -j ACCEPT
-A FORWARD -d 10.10.0.3/32 -j ACCEPT
-A FORWARD -s 10.10.0.1/32 -d 10.10.0.0/24 -j ACCEPT
-A FORWARD -s 10.10.0.0/24 -d 10.10.0.1/32 -j ACCEPT
-A FORWARD -s 10.10.0.3/32 -d 10.10.0.1/32 -j ACCEPT
-A FORWARD -d 10.10.0.3/32 -j ACCEPT
-A FORWARD -s 10.10.0.1/32 -d 10.10.0.1/32 -j ACCEPT
-A FORWARD -s 10.10.0.0/24 -d 10.10.0.1/32 -j ACCEPT
-A FORWARD -s 10.10.0.2/32 -d 10.10.0.1/32 -j ACCEPT
-A FORWARD -d 10.10.0.2/32 -j ACCEPT
-A FORWARD -s 10.10.0.1/32 -d 10.10.0.1/32 -j ACCEPT
-A FORWARD -s 10.10.0.0/24 -i eth1 -o eth0 -j ACCEPT
-A FORWARD -s 10.10.0.2/32 -i ppp0 -o eth0 -j ACCEPT
-A FORWARD -s 10.10.0.3/32 -i ppp1 -o eth0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.10.0.0/24 -o eth0 -j LOG
-A FORWARD -d 10.10.0.0/24 -o eth0 -j DROP
-A FORWARD -d 10.10.0.1/32 -o eth0 -j LOG
-A FORWARD -d 10.10.0.1/32 -o eth0 -j DROP
-A FORWARD -d 10.10.0.1/32 -o eth0 -j LOG
-A FORWARD -d 10.10.0.1/32 -o eth0 -j DROP
-A FORWARD -j LOG
-A FORWARD -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -d 255.255.255.255/32 -o eth1 -j ACCEPT
-A OUTPUT -d 255.255.255.255/32 -o ppp0 -j ACCEPT
-A OUTPUT -d 255.255.255.255/32 -o ppp1 -j ACCEPT
-A OUTPUT -d 10.10.0.0/24 -o eth1 -j ACCEPT
-A OUTPUT -d 10.10.0.2/32 -o ppp0 -j ACCEPT
-A OUTPUT -d 10.10.0.3/32 -o ppp1 -j ACCEPT
-A OUTPUT -d 224.0.0.0/4 -o eth1 ! -p tcp -j ACCEPT
-A OUTPUT -d 224.0.0.0/4 -o ppp0 ! -p tcp -j ACCEPT
-A OUTPUT -d 224.0.0.0/4 -o ppp1 ! -p tcp -j ACCEPT
-A OUTPUT -d 10.10.0.0/24 -o eth0 -j LOG
-A OUTPUT -d 10.10.0.0/24 -o eth0 -j DROP
-A OUTPUT -d 10.10.0.1/32 -o eth0 -j LOG
-A OUTPUT -d 10.10.0.1/32 -o eth0 -j DROP
-A OUTPUT -d 10.10.0.1/32 -o eth0 -j LOG
-A OUTPUT -d 10.10.0.1/32 -o eth0 -j DROP
-A OUTPUT -d 255.255.255.255/32 -o eth0 -j ACCEPT
-A OUTPUT -s 192.168.0.2/32 -o eth0 -j ACCEPT
-A OUTPUT -s 192.168.0.255/32 -o eth0 -j ACCEPT
-A OUTPUT -j LOG
-A OUTPUT -j DROP
COMMIT
# Completed on Tue Jun 19 12:05:28 2012
Да поднят VPN сервер

Используйте тэг КОД
--Пупизоид

[fisher74]

Приблуда вроде arno-iptables-firewall мешать может?

А почему бы и нет? Смотрите для начала результирующие правила.

Garikus,
Вас уже просили использовать спойлер.
И зачем Вы снова полупустые правила выложили? Где проброс?
И ещё вопрос: UFW используется? или это только ошмётки от него?

[Garikus]

проброс в вверху, это полные правила командой IPTABLES-SAVE UFW отключен.
За сполер сорри учту