HOWTO: Iptables для новичков

[fisher74]

Не все новые, а все входящие, которые не попали ни под одно правило в цепочке. Проще говоря - дефолтное правило.
Чтобы не потерять управление по ssh внесите сначала правило для ssh, убедитесь, что оно работает (по счётчикам) и только после этого можете добавлять дефолтное прввило.

[AnrDaemon]

Только изнутри сети.

-A INPUT -s 192.168.5.0/24 -i eth0 -j ACCEPT

[funakoshi]

Только изнутри сети.

-A INPUT -s 192.168.5.0/24 -i eth0 -j ACCEPT

Значит все-таки из контекста выдрал строку )

Не все новые, а все входящие

Спасибо за уточнение.

[AnrDaemon]

Только изнутри сети.

-A INPUT -s 192.168.5.0/24 -i eth0 -j ACCEPT

Значит все-таки из контекста выдрал строку )

Думаете, мы просто так просим показывать iptables-save целиком?

[TrEK]

Код: [Выделить]

root@gate:/etc/quagga# cat /etc/iptables-save | iptables-restore
'ptables-restore v1.4.12: iptables-restore: unable to initialize table 'mangle

Error occurred at line: 3
Try `iptables-restore -h' or 'iptables-restore --help' for more information.


что за фигня !?? модули вроде бы есть...

[AnrDaemon]

Показывайте
lsb_release -a
и что конкретно вы там загружаете?

[TrEK]

Показывайте
lsb_release -a
и что конкретно вы там загружаете?

Загружаю айпитейблз с :

root@gate:/home/trek# lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 10.04.4 LTS
Release:        10.04
Codename:       lucid


на Ubuntu 12.04.4 LTS




там где все ок:

Код: [Выделить]

root@gate:/home/trek# lsmod | grep ip_tables
ip_tables              18358  3 iptable_filter,iptable_nat,iptable_mangle
там где не хочет правила загружать:

Код: [Выделить]

root@gate:/home/trek# lsmod | grep ip_tables
ip_tables              18358  3 iptable_filter
Пол ночи бился, чтоб понять как включить модуля... хотя они есть , не помню какой командой смотрел..

[ArcFi]

TrEK,

и что конкретно вы там загружаете?

Код: [Выделить]

cat /etc/iptables-save

[TrEK]

TrEK,

и что конкретно вы там загружаете?

Код: [Выделить]

cat /etc/iptables-save

может в 12.0.4 надо по другому указывать цепочки nat , mangle ?

(Нажмите, чтобы показать/скрыть)

root@gate:/home/trek# cat /etc/iptables-save
# Generated by iptables-save v1.3.8 on Mon Sep  8 10:36:13 2008
#TrEK add---------[
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
#Dlya pravulnoi fragmentacii paketiv
#-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
#-A POSTROUTING -s 194.187.228.181 -o eth1 -j SAME --to 194.187.228.1-194.187.228.254 --nodst
#
COMMIT
#TrEK add end-----]
*nat
:PREROUTING ACCEPT [741004:57797819]
:POSTROUTING ACCEPT [1871:345984]
:OUTPUT ACCEPT [8086:776984]
## -----------------
-A PREROUTING -d 194.187.228.185 -p tcp --dport 8291 -j DNAT --to-destination 192.168.181.90:8291
-A POSTROUTING --dst 192.168.181.90 -p tcp --dport 8291 -j SNAT --to-source 192.168.180.5
##Remote IPTV-----------------
#-A PREROUTING -p udp -d 194.187.228.185 --dport 1234 -j DNAT --to-destination 192.168.180.42:1234
#-A POSTROUTING -p udp --dst 192.168.180.42 --dport 1234 -j SNAT --to-source 192.168.180.5
-A PREROUTING -p tcp -d 194.187.228.254 --dport 80 -j DNAT --to-destination 192.168.180.189:80
-A POSTROUTING -p udp --dst 192.168.180.189 --dport 80 -j SNAT --to-source 192.168.180.5
##Remote RDP-----------------
-A PREROUTING -p tcp -d 194.187.228.185 --dport 3389 -j DNAT --to-destination 192.168.180.44:3389
-A POSTROUTING -p tcp --dst 192.168.180.44 --dport 3389 -j SNAT --to-source 192.168.180.5
##Remote RDP-----------------POL1C3MAN
#-A PREROUTING -p tcp -d 194.187.228.222 --dport 3389 -j DNAT --to-destination 192.168.180.36:3389
#-A POSTROUTING -p tcp --dst 192.168.180.36 --dport 3389 -j SNAT --to-source 192.168.180.5
##Remote VEGA1
-A PREROUTING -p tcp -d 194.187.228.185 --dport 81 -j DNAT --to-destination 192.168.170.209:80
-A POSTROUTING -p tcp --dst 192.168.170.209 --dport 80 -j SNAT --to-source 192.168.180.5
##Remote VEGA2
-A PREROUTING -p tcp -d 194.187.228.185 --dport 82 -j DNAT --to-destination 192.168.170.213:80
-A POSTROUTING -p tcp --dst 192.168.170.213 --dport 80 -j SNAT --to-source 192.168.180.5
##OBLavtodor-----------------
-A PREROUTING -p tcp -d 194.187.228.185 --dport 37254 -j DNAT --to-destination 192.168.186.201:37254
-A POSTROUTING -p tcp --dst 192.168.186.201 --dport 37254 -j SNAT --to-source 192.168.180.5
##
#-A PREROUTING -s 194.187.228.181 -d 91.201.156.229 -p tcp --dport 80 -j DNAT --to-destination 91.201.156.3
###----- SQUID ---------###
#-A PREROUTING -i eth0 -p tcp -s 192.168.0.0/16 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j DNAT --to 192.168.180.5:3128
#-A PREROUTING -i eth0 -p tcp -s 194.187.228.0/24 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j DNAT --to 192.168.180.5:3128
#-A PREROUTING -i eth0 -p tcp -s 192.168.180.44 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128
#-A PREROUTING -i eth0 -p tcp -s 194.187.228.181 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128
#-A PREROUTING -i eth0 -p tcp -s 192.168.180.36 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128
#-A PREROUTING -i eth0 -p tcp -s 192.168.180.34 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128
#-A PREROUTING -i eth0 -p tcp -s 192.168.180.33 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128
#-A PREROUTING -i eth0 -p tcp -s 192.168.180.35 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128
#-A PREROUTING -i eth0 -p tcp -s 192.168.180.39 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128
#-A PREROUTING -i eth0 -p tcp -s 192.168.180.45 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128
#-A PREROUTING -i eth0 -p tcp -s 192.168.180.40 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128
#-A PREROUTING -i eth0 -p tcp -s 194.187.228.181 ! -d 192.168.0.0/24 -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128
#--- TORRENTS-port TrEK ---
#-A PREROUTING -p tcp -d 194.187.228.85 --dport 15448 -j DNAT --to-destination 192.168.180.37:15448
#-A POSTROUTING -p tcp --dst 192.168.180.37 --dport 15448 -j SNAT --to-source 194.187.228.185
#--- TORRENTS-port Po1ic3man ---
-A PREROUTING -p tcp -d 194.187.228.186 --dport 15448 -j DNAT --to-destination 192.168.180.36:15448
-A POSTROUTING -p tcp --dst 192.168.180.36 --dport 15448 -j SNAT --to-source 194.187.228.186
#--- TORRENTS-port Paladin ---
-A PREROUTING -p tcp -d 194.187.228.186 --dport 15449 -j DNAT --to-destination 192.168.180.44:15449
-A POSTROUTING -p tcp --dst 192.168.180.44 --dport 15449 -j SNAT --to-source 194.187.228.186
#--- Pereadresaciya ---
#-A PREROUTING -s 194.187.228.181 -d 195.68.160.7 -p tcp --dport 80 -j DNAT --to-destination 194.85.95.108
#-A PREROUTING -s 194.187.228.181 -d 195.68.160.7 -p tcp --dport 80 -j DNAT --to-destination 91.201.156.3
#-A PREROUTING -s 192.168.180.44 -p tcp --dport 80 -j DNAT --to-destination 91.201.156.3
#-A PREROUTING -i eth0 -s 192.168.180.37 -p tcp --dport 80 -j DNAT --to-destination 194.187.228.185
#-A PREROUTING -i eth0 -s 194.187.228.181 -j DNAT --to-destination 194.187.228.165
#--- NAT ---
#-A POSTROUTING -s 192.168.180.44 -p tcp --dport 80 -o eth1 -j SNAT --to-source 194.187.228.44
#-A POSTROUTING -s 192.168.180.36 -p tcp --dport 80 -o eth1 -j SNAT --to-source 194.187.228.36
#-A POSTROUTING -s 194.187.228.181 -p tcp --dport 80 -o eth1 -j SNAT --to-source 78.88.208.114
#
#
#-A POSTROUTING -s 192.168.180.37 -p tcp --dport 80 -o eth1 -j SNAT --to-source 194.187.228.37
#-A POSTROUTING -s 192.168.180.42 -p tcp --dport 80 -o eth1 -j SNAT --to-source 194.187.228.183
#-A POSTROUTING -s 192.168.179.201 -p tcp --dport 80 -o eth1 -j SNAT --to-source 194.187.228.187
#-A POSTROUTING -s 192.168.180.32/255.255.255.240 -p tcp --dport 25 -o eth1 -j SNAT --to-source 194.187.228.187
#-A POSTROUTING -s 192.168.180.32/255.255.255.240 -o eth1 -j SNAT --to-source 194.187.228.186
#-A POSTROUTING -s 192.168.0.0/255.255.0.0 -o eth1 -j SNAT --to-source 194.187.228.188
#-A POSTROUTING -s 192.168.0.0/255.255.0.0 -p tcp --dport 8080 -o eth1 -j SNAT --to-source 194.187.228.186
#
#
#
#-A POSTROUTING -s 192.168.189.249 -p tcp --dport 80 -o eth1 -j SNAT --to-source 194.187.228.252
#-A POSTROUTING -s 192.168.181.81 -p tcp --dport 80 -o eth1 -j SNAT --to-source 194.187.228.254
-A POSTROUTING -s 192.168.171.0/24 -p tcp --dport 80 -o eth1 -j SNAT --to-source 194.187.228.254
-A POSTROUTING -s 192.168.180.44 -p tcp --dport 80 -o eth1 -j SNAT --to-source 194.187.228.37
-A POSTROUTING -s 192.168.184.85 -p tcp --dport 80 -o eth1 -j SNAT --to-source 194.187.228.85
-A POSTROUTING -s 192.168.180.42 -p tcp --dport 80 -o eth1 -j SNAT --to-source 194.187.228.183
-A POSTROUTING -s 192.168.179.201 -p tcp --dport 80 -o eth1 -j SNAT --to-source 194.187.228.187
-A POSTROUTING -s 192.168.180.32/255.255.255.240 -p tcp --dport 25 -o eth1 -j SNAT --to-source 194.187.228.187
-A POSTROUTING -s 192.168.180.32/255.255.255.240 -o eth1 -j SNAT --to-source 194.187.228.186
-A POSTROUTING -s 192.168.0.0/255.255.0.0 -o eth1 -j SNAT --to-source 194.187.228.188
#-A POSTROUTING -s 192.168.0.0/255.255.0.0 -p tcp --dport 8080 -o eth1 -j SNAT --to-source 194.187.228.186
-A POSTROUTING -s 91.201.156.229/255.255.255.255 -o eth1 -j SNAT --to-source 194.187.228.185
#-A POSTROUTING -s 194.187.228.181 -o eth1 -j SNAT --to-source 91.201.156.229
#Botva
#-A POSTROUTING -s 194.187.228.181 -d 85.112.121.132 -p tcp --dport 80 -o eth1 -j SNAT --to-source 194.187.228.111
#JustParty
#-A POSTROUTING -s 194.187.228.181 -d 89.249.20.141 -p tcp --dport 80 -o eth1 -j SNAT --to-source 194.187.228.37
#-A POSTROUTING -s 194.187.228.181 -p tcp --dport 80 -o eth1 -j SNAT --to-source 194.187.228.125
### MULTI-NAT ###
#-A POSTROUTING -s 194.187.228.181 -m iprange --dst-range 194.187.228.2-194.187.228.254
#-A POSTROUTING -s 194.187.228.181 -o eth1 -p tcp -m multiport --dport 80,8080 -j SNAT --to 194.187.228.1-194.187.228.254 --persistent
#----------------
COMMIT
# Completed on Mon Sep  8 10:36:13 2008
# Generated by iptables-save v1.3.8 on Mon Sep  8 10:36:13 2008
*filter
:INPUT ACCEPT [352983:33981270]
:FORWARD ACCEPT [5424883:3256208557]
:OUTPUT ACCEPT [351929:32388287]
#-A FORWARD -s 91.201.156.229 -j DROP
#-A FORWARD -d 91.201.156.229 -j DROP
#Magazun-block
#-A FORWARD -i eth0 -s 192.168.180.43 -d 217.117.65.229 -j ACCEPT
#-A FORWARD -i eth0 -s 192.168.180.43 -d 217.117.65.240 -j ACCEPT
#-A FORWARD -i eth0 -s 192.168.180.43 -j DROP
#--- TrEK add===[
#Dlya pravulnoi fragmentacii paketiv
#-A FORWARD -s 194.187.228.181 -j DROP
#-A FORWARD -i eth1 -d 194.187.228.181 -j DROP
-A FORWARD -i eth0 -p icmp -s 192.168.180.44 -d 194.187.228.121 -j ACCEPT
-A FORWARD -i eth0 -p icmp -d 194.187.228.121 -j REJECT
#-A FORWARD -i eth0 -p icmp -s 194.187.228.181 -d 194.187.228.121 -j ACCEPT
#-A FORWARD -o eth1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
#-A FORWARD -i eth1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
#--- TrEK add===]
#--------- Obmezhennya Trafiky -------------
#-A FORWARD -s 192.168.180.44 -p tcp -m quota --quota 2147483000 -j ACCEPT
#-A FORWARD -s 192.168.180.44 -j DROP
#--------- Blokyvannya saytiv -------------
#-A FORWARD -s 192.168.185.240/255.255.255.240 -o eth1 -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP
#-A FORWARD -s 192.168.180.44 -o eth1 -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP
#-A FORWARD -s 192.168.180.44 -o eth1 -m string --string "fishki.net" --algo kmp --to 65535 -j DROP
#-A FORWARD -s 192.168.180.36 -o eth1 -m string --string "yaplakal.com" --algo kmp --to 65535 -j DROP
#--------- Blokyvannya DNS politexa ---
#-A FORWARD -p tcp --dport 53 -d 91.201.156.2 -j DROP
#-A FORWARD -p udp --dport 53 -d 91.201.156.2 -j DROP
#-A FORWARD -p tcp --dport 53 -d 91.201.156.3 -j DROP
#-A FORWARD -p udp --dport 53 -d 91.201.156.3 -j DROP
#-A FORWARD -p tcp --dport 53 -d 91.201.156.4 -j DROP
#-A FORWARD -p udp --dport 53 -d 91.201.156.4 -j DROP
#--------- Blokyvannya 1720, 445, 137 ----
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp --dport 1720 -j DROP
-A FORWARD -p tcp --sport 1720 -j DROP
-A FORWARD -p tcp --dport 445 -j DROP
-A FORWARD -p udp --dport 445 -j DROP
-A INPUT -p tcp --dport 445 -j DROP
-A INPUT -p udp --dport 445 -j DROP
-A OUTPUT -p tcp --dport 445 -j DROP
-A OUTPUT -p udp --dport 445 -j DROP
-A FORWARD -p tcp --dport 137 -j DROP
-A FORWARD -p udp --dport 137 -j DROP
-A INPUT -p tcp --dport 137 -j DROP
-A INPUT -p udp --dport 137 -j DROP
-A OUTPUT -p tcp --dport 137 -j DROP
-A OUTPUT -p udp --dport 137 -j DROP
-A INPUT -s 59.104.118.148 -j DROP
#--- VPN , GRE ---
-A INPUT -p gre -j ACCEPT
-A FORWARD -p gre -j ACCEPT
-A OUTPUT -p gre -j ACCEPT
-A FORWARD -p tcp --dport 1194 -j ACCEPT
-A FORWARD -p udp --dport 1194 -j ACCEPT
-A FORWARD -p tcp --sport 1194 -j ACCEPT
-A FORWARD -p udp --sport 1194 -j ACCEPT
-A FORWARD -m tcp -p tcp --sport 1723 -j ACCEPT
-A FORWARD -m tcp -p tcp --dport 1723 -j ACCEPT
-A FORWARD -p tcp --dport 2500 -j ACCEPT
-A FORWARD -p tcp --dport 8443 -j ACCEPT
-A FORWARD -p tcp --dport 443 -j ACCEPT
-A FORWARD -p udp --dport 443 -j ACCEPT
-A FORWARD -p tcp --sport 443 -j ACCEPT
-A FORWARD -p udp --sport 443 -j ACCEPT
-A FORWARD -p tcp --dport 587 -j ACCEPT
-A FORWARD -p udp --dport 587 -j ACCEPT
-A FORWARD -p tcp --dport 465 -j ACCEPT
#--- SSH ---
-A FORWARD -p tcp -d 91.201.156.237 --dport 22 -j ACCEPT
-A INPUT -s 192.168.180.32/255.255.255.240 -p tcp --dport 22 -j ACCEPT
-A INPUT -s 91.201.156.229 -p tcp --dport 22 -j ACCEPT
-A INPUT -s 78.88.208.117 -p tcp --dport 22 -j ACCEPT
-A INPUT -s 194.187.228.181 -p tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.171.1 -p tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.180.6 -p tcp --dport 22 -j ACCEPT
-A INPUT -s 194.187.228.165 -p tcp --dport 22 -j ACCEPT
-A INPUT -s 91.201.156.233 -p tcp --dport 22 -j ACCEPT
#-A INPUT -p tcp -m iprange --src-range 91.0.0.0-94.255.255.255 --dport 22 -j ACCEPT
-A INPUT -p udp -m multiport --dport 135,137,138,139 -j DROP
-A INPUT -p tcp --dport 139 -j DROP
-A INPUT -p tcp --dport 445 -j DROP
-A OUTPUT -p udp -m multiport --dport 135,137,138,139 -j DROP
-A OUTPUT -p tcp --dport 139 -j DROP
-A OUTPUT -p tcp --dport 445 -j DROP
####-A INPUT -s 91.0.0.0/255.0.0.0 -p tcp --dport 22 -j ACCEPT
####-A INPUT -s 92.0.0.0/255.0.0.0 -p tcp --dport 22 -j ACCEPT
####-A INPUT -s 94.0.0.0/255.0.0.0 -p tcp --dport 22 -j ACCEPT
-A INPUT -s 194.187.228.0/255.255.255.0 -p tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.180.32/255.255.255.240 -p tcp --dport 22 -j ACCEPT
-A INPUT -p tcp --dport 22 -j DROP
-A INPUT -p ALL -i lo -j ACCEPT
-A OUTPUT -p ALL -o lo -j ACCEPT
#--- MOSKOW ---
-A INPUT -i eth1 -s 193.169.4.0/23 -j DROP
#-A OUTPUT -o eth1 -d 193.169.4.0/23 -j DROP
-A FORWARD -s 193.169.4.0/23 -j DROP
-A FORWARD -d 193.169.4.0/23 -j DROP
-A FORWARD -s 193.169.4.0/255.255.254.0 -j DROP
#--- OTHER ---
-A FORWARD -p tcp -s 194.44.63.0/255.255.255.0 --dport 3306 -j ACCEPT
-A FORWARD -p udp -s 194.44.63.0/255.255.255.0 --dport 3306 -j ACCEPT
-A FORWARD -p tcp -s 91.201.156.237 --dport 3306 -j ACCEPT
-A FORWARD -p udp -s 91.201.156.237 --dport 3306 -j ACCEPT
-A FORWARD -p tcp --dport 3306 -j DROP
-A FORWARD -p udp --dport 3306 -j DROP
-A FORWARD -p tcp -m multiport --dport 135,136,137,138,139 -j DROP
-A FORWARD -p tcp --dport 139 -j DROP
-A FORWARD -p tcp -m multiport --dport 2601,2602,2603,2604,2605,2606 -j DROP
-A FORWARD -p tcp -m multiport --dport 1812,1813 -j DROP
-A FORWARD -p tcp -m multiport --dport 1645,1646 -j DROP
-A FORWARD -d 10.127.255.209 -j DROP
#--- SyncFlood ---
-A FORWARD -p tcp --syn -m limit --limit 15/minute -j ACCEPT
###LIMIT http session for each ip!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
###-A INPUT -p tcp -m state --state NEW --dport http -m iplimit --iplimit-above 5 -j DROP
#-A FORWARD -p tcp --dport 80 -m iplimit --iplimit-above 13 -j REJECT
-A INPUT -p tcp --syn --dport 80 -m iprange --src-range 91.0.0.0-94.0.0.0 -j ACCEPT
#-A INPUT -p tcp --syn --dport 80 -s 194.187.228.181 -j ACCEPT
#-A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 -j DROP
#-A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 2 -j DROP
-A INPUT -s 192.166.0.4 -p tcp --syn --dport 22 -j LOG
#-A INPUT ! -s 192.168.0.6/16 -p tcp --syn --dport 22 -m connlimit --connlimit-above 2 -j DROP
-A FORWARD -m iprange --src-range 192.168.0.1-192.168.0.10 -p tcp --dport 23 -m connlimit --connlimit-above 3 -j DROP
#-A FORWARD -s 194.187.228.181 -p tcp --dport 80 -m connlimit --connlimit-above 2 -j DROP
####ANTISCAN 139 ports
#-A FORWARD -m recent --name portscan --rcheck --seconds 300 -j DROP
-A FORWARD -p tcp -i eth0 --dport 139 -m recent --name portscan --set -j DROP
###LOVYSHKI!!!!!!!!!!!!!!!!!!!!!!!
#-A INPUT -p tcp -m tcp --dport 80 -j TARPIT
#-A INPUT -p tcp -m tcp -m mport --dports 135,139,1025 -j TARPIT
#### DIFFERENt
-A FORWARD -p tcp --syn -m connlimit --connlimit-above 450 -j REJECT
###-A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 15/minute -d any/0 -j QUEUE
###-A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j QUEUE
#-A FORWARD -p icmp -j DROP
#--- MAC -addrres ---
#-A FORWARD -s 192.168.0.4 -i eth0 -o eth1 -m mac --mac-source 00:02:44:50:67:B2 -j ACCEPT
#--------------------
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 23 -j DROP
#-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
#--- SMTP ---
-A FORWARD -s 194.187.228.181 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 194.187.228.9 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.184.109 -p tcp --dport 25 -j ACCEPT
-A FORWARD -d 192.168.184.109 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 194.187.228.218 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.186.13 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.187.225 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 194.187.228.233 -p tcp --dport 25 -j ACCEPT
-A FORWARD -d 194.187.228.233 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.173 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.186.1 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.187.149 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 194.187.228.153 -p tcp --dport 25 -j ACCEPT
-A FORWARD -d 194.187.228.153 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.187.217 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.186.141 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 194.187.228.129 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.187.173 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 91.201.156.233 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.186.145 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.186.146 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.65 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.180.44 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 194.187.228.201 -p tcp --dport 25 -j ACCEPT
-A FORWARD -d 194.187.228.201 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.183.153 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.180.37 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.100.0/24 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.213 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.186.181 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 194.187.228.173 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 194.187.228.193 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.187.225 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 194.187.228.169 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 194.187.228.170 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.183.37 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.193 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 194.187.228.165 -p tcp --dport 25 -j ACCEPT
-A FORWARD -d 194.187.228.165 -p tcp --dport 25 -j ACCEPT
-A FORWARD -d 194.187.228.149 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 91.201.156.229 -p tcp --dport 25 -j ACCEPT
-A FORWARD -d 91.201.156.229 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 194.187.228.241 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.183.25 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 194.187.228.149 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 194.187.228.140 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.25 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.183.129 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.183.157 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.179.5 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.186.29 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.89 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.90 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.91 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.92 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.93 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.94 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.95 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.181.96 -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.186.149 -p tcp --dport 25 -j ACCEPT
-A FORWARD -p tcp --dport 25 -j DROP
#--- BGP ---
-A FORWARD -p tcp --dport 179 -j ACCEPT
-A FORWARD -p udp --dport 179 -j ACCEPT
-A FORWARD -p tcp --dport 953 -j ACCEPT
#-----------
#-A FORWARD -s 194.187.228.181 -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP
-A OUTPUT -p gre -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 23 -j DROP
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -p tcp --dport 25 -j ACCEPT
COMMIT
# Completed on Mon Sep  8 10:36:13 2008

[AnrDaemon]

Что это вообще за машина?

[TrEK]

Что это вообще за машина?

шлюз интернета... 

[AnrDaemon]

TrEK, с такими ответами вы можете тут получить только один совет - "разбирайтесь сами, либо наймите специалиста".
В нормально установленной 12,04 таких проблем нет.

[TrEK]

TrEK, с такими ответами вы можете тут получить только один совет - "разбирайтесь сами, либо наймите специалиста".
В нормально установленной 12,04 таких проблем нет.

а какой мой ответ должен быть ?
вопрос стоит прямолинейсно "Как включить модуля ip_tables mangle, ip_tables nat" ? разве машина тут при чем то ?

[AnrDaemon]

Ответ должен быть "я тут вот взял не знаю чего, установил систему непонятно откуда, что тут вообще происходит, не знаю и знать не хочу - просто сделайте, чтобы всё работало!!!"

[TrEK]

Ответ должен быть "я тут вот взял не знаю чего, установил систему непонятно откуда, что тут вообще происходит, не знаю и знать не хочу - просто сделайте, чтобы всё работало!!!"

описал проблему, задал вопрос, показал конфиги.. ладно поищем ответ сами дальше.
Пользователь решил продолжить мысль 02 Февраля 2013, 18:38:00:

Код: [Выделить]

man insmod
man modprobe