Раздача интернета на 2-ую подсеть.

[stink]

Добрый день великие гуру!
Прошу помощи разобраться где зарыта собака!
Имеется:
 gate1

(Нажмите, чтобы показать/скрыть)

eth0 - смотрит в глобальную сеть
eth1 - смотрит в 10.133.0.0
eth2 172.19.XX.1 - служит для соединения с GATE2 через стороннюю вафлю 172.19.XX.2.
tap0 10.133.10.1 - VPN интерфейс.
cat interfaces:
# The loopback network interface
auto lo
iface lo inet loopback

iface eth0 inet static
   address XX.XX.XX.XX
   netmask 255.255.255.248
        gateway XX.XX.XX.XX

iface eth1 inet static
        address 10.133.0.1
        netmask 255.255.255.0
        network 10.133.0.0
        broadcast 10.133.0.255

iface eth2 inet static
   address 172.19.XX.1
   netmask 255.255.255.128

 gate2

(Нажмите, чтобы показать/скрыть)

eth0 172.19.XX.3 - служит для соединения с GATE1 через стороннюю вафлю 172.19.XX.2.
eth1 10.133.2.1.
tap0 10.133.10.2 - VPN интерфейс.

cat interfaces:
# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
   address 172.19.XX.3
   netmask 255.255.255.128
   gateway 172.19.XX.2
   

auto eth1
iface eth1 inet static
   address 10.133.2.1
   netmask 255.255.255.0
   network 10.133.2.0
   broadcast 10.133.2.255

route:
Gate1:
route add -net 10.133.2.0 netmask 255.255.255.0 gw 10.133.10.2 tap0
Gate2:
route add -net 10.133.0.0 netmask 255.255.255.0 gw 10.133.10.1 tap0

Не могу раздать инет на gate2.
отправляю ping c gate2
приходит один ответ с распознаванием имени и дальше ничего не происходит в чем проблема?
инет не работает???
Помогите решить эту проблему.
Заранее благодарен!

[fisher74]

Не вижу правил ни с одного гейта, состояния интерфейсов и таблиц маршрутизации.
"Распознование имени" - это видимо Вы имели ввиду, что имя резольвится в IP-адрес. Тогда это не факт что у Вас вообще раздача работает Вполне вероятно, что это просто отрабатывает локальный dns-сервер.
проверьте

Код: [Выделить]

nslookup ya.ruУверен, что в качестве сервера выступит что-то локальное, а IP-шник отрезольвится правильный

Замечание: роуты для OpenVPN рекомендуется раздавать через конфиги.
Замечание2: пользуйтесь тегами "спойлер"

[stink]

(Нажмите, чтобы показать/скрыть)

nslookup ya.ru
Server:      127.0.0.1
Address:   127.0.0.1#53

Non-authoritative answer:
Name:   ya.ru
Address: 93.158.134.3
Name:   ya.ru
Address: 93.158.134.203
Name:   ya.ru
Address: 213.180.193.3
Name:   ya.ru
Address: 213.180.204.3
Name:   ya.ru
Address: 77.88.21.3
Name:   ya.ru
Address: 87.250.250.3
Name:   ya.ru
Address: 87.250.250.203
Name:   ya.ru
Address: 87.250.251.3

GATE1

(Нажмите, чтобы показать/скрыть)

#!/bin/sh -x

##
##  Interfaces and Networks
##

ipt="iptables"

Lo_if="lo"
Int_if="eth0"
Srv_if="eth1"
Gate2_if="eth2"
Gate2_if="tap0"

Srv_net="10.133.0.0/24"
Gate2_net="10.133.2.0/24"

Int_ip="XX.XX.XX.XX"
Srv_ip="10.133.0.1"
OpenVpn_ip="10.133.10.1"

## NAT
##

echo "1" > /proc/sys/net/ipv4/ip_forward


$ipt -t nat -N localnets
$ipt -t nat -A localnets -d 192.168.0.0/24 -j ACCEPT
$ipt -t nat -A localnets -d 192.168.2.0/24 -j ACCEPT


$ipt -t nat -A PREROUTING -j localnets
$ipt -t nat -A PREROUTING -s $Usr_net -p tcp --dport 80 -j REDIRECT --to-port 3128
$ipt -t nat -A PREROUTING -s $Srv_net -p tcp --dport 80 -j REDIRECT --to-port 3128

#$ipt -t nat -A PREROUTING -s $Srv_net -p tcp --dport 80 -j REDIRECT --to-port 3128
#$ipt -t nat -A PREROUTING -s $Srv_net -p tcp --dport 8080 -j REDIRECT --to-port 3128
#$ipt -t nat -A PREROUTING -s $Usr_net ! -d $Srv_net -p tcp --dport 80 -j REDIRECT --to-port 3128
#$ipt -t nat -A PREROUTING -s $Usr_net ! -d $Srv_net -p tcp --dport 8080 -j REDIRECT --to-port 3128

# Gate (DNS)
$ipt -A INPUT -i $Usr_if -s $Usr_net -d $Usr_ip -p tcp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j AC$
$ipt -A INPUT -i $Srv_if -s $Srv_net -d $Srv_ip -p tcp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j AC$
$ipt -A INPUT -i $Srv_if -s $Cart_net -d $Srv_ip -p tcp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j AC$

# Gate (Squid Proxy)
$ipt -A INPUT -i $Usr_if -s $Usr_net -d $Usr_ip -p tcp --dport 3128 -m state --state NEW,ESTABLISHED,RELATED -j $
$ipt -A INPUT -i $Srv_if -s $Srv_net -d $Srv_ip -p tcp --dport 3128 -m state --state NEW,ESTABLISHED,RELATED -j $
$ipt -A INPUT -i $Gate2_if -s $Srv_net -d $Srv_ip -p tcp --dport 3128 -m state --state NEW,ESTABLISHED,RELATED -j $

GATE2

(Нажмите, чтобы показать/скрыть)

cat fw.sh
#!/bin/sh -x
#
#  Interfaces and Networks
#
ipt="iptables"
Int_if="eth0"
Crt_if="eth1"
Vpn_if="tap0"

Int_ip="172.19.51.130"
VpnGate_ip="10.133.10.1"
VpnCrt_ip="10.133.10.2"

SrvNet="10.133.0.0/24"
CrtNet="10.133.2.0/24"

#
# Flush iptables rules
#

$ipt -P INPUT ACCEPT
$ipt -F INPUT
$ipt -P OUTPUT ACCEPT
$ipt -F OUTPUT
$ipt -P FORWARD ACCEPT
$ipt -F FORWARD
$ipt -t nat -F

$ipt -A INPUT -i tap0 -j ACCEPT
$ipt -A FORWARD -i tap0 -j ACCEPT
$ipt -A FORWARD -o tap0 -j ACCEPT

#
# NAT
#
echo 1 > /proc/sys/net/ipv4/ip_forward

[fisher74]

Так и есть. Локальный DNS работает. Ждём всё остальное.

[stink]

Добавил правила в предыдущий ответ, но там немного наворочено (черт ногу сломит).
Если что не понятно попробую объяснить (не соих это рук дело).

Добавив маршруты в конфиг ВПН они не поднимаются

[fisher74]

Это не правила, а скрипты их добавляющие. Показывайте правила.

[stink]

Gate1

(Нажмите, чтобы показать/скрыть)

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     gre  --  anywhere             anywhere           
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:1723
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
           tcp  --  anywhere             anywhere            tcp dpt:ssh state NEW recent: SET name: SSH side: source
DROP       tcp  --  anywhere             anywhere            tcp dpt:ssh state NEW recent: UPDATE seconds: 60 hit_count: 10 name: SSH side: source
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh state NEW
ACCEPT     tcp  --  10.133.0.50          anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:3128
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:3128
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     all  --  10.133.20.0/24       sip.office.mtk     
ACCEPT     all  --  10.133.20.0/24       sip-02.office.mtk   
ACCEPT     tcp  --  10.133.1.0/24        10.133.1.1          tcp dpt:domain state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.0.0/24        gate.office.mtk     tcp dpt:domain state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.0/24        10.133.1.1          tcp dpt:3128 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.0.0/24        gate.office.mtk     tcp dpt:3128 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.0/24        10.133.1.1          tcp dpt:www state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.0.0/24        gate.office.mtk     tcp dpt:www state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.79          10.133.1.1          tcp dpt:microsoft-ds state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.80          10.133.1.1          tcp dpt:microsoft-ds state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.81          10.133.1.1          tcp dpt:microsoft-ds state NEW,RELATED,ESTABLISHED

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
DROP       all  --  anywhere             anywhere            state INVALID
DROP       udp  --  anywhere             255.255.255.255     
DROP       udp  --  anywhere             255.255.255.255     
DROP       udp  --  anywhere             255.255.255.255     
DROP       all  --  anywhere             192.150.14.0/24     
DROP       all  --  anywhere             192.150.15.0/24     
DROP       all  --  anywhere             192.150.16.0/24     
DROP       all  --  anywhere             188.127.243.0/24   
ACCEPT     tcp  --  mail.office.mtk      anywhere            tcp spt:smtp state RELATED,ESTABLISHED
ACCEPT     tcp  --  mail.office.mtk      anywhere            tcp spt:7071 state RELATED,ESTABLISHED
ACCEPT     tcp  --  mail.office.mtk      anywhere            tcp spt:smtp state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             mail.office.mtk     tcp dpt:smtp
ACCEPT     tcp  --  anywhere             storage.office.mtk  tcp dpt:xmpp-client
ACCEPT     tcp  --  storage.office.mtk   anywhere            tcp spt:xmpp-client state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             storage.office.mtk  tcp dpt:xmpp-server
ACCEPT     tcp  --  storage.office.mtk   anywhere            tcp spt:xmpp-server state RELATED,ESTABLISHED
ACCEPT     tcp  --  mail.office.mtk      anywhere            tcp dpt:smtp state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             mail.office.mtk     tcp spt:smtp state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.18          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             10.133.1.18         state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.16          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             10.133.1.16         state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.17          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             10.133.1.17         state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.7           anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             10.133.1.7          state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.12          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             10.133.1.12         state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.14          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             10.133.1.14         state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.5           anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             10.133.1.5          state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.6           anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             10.133.1.6          state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.2           anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             10.133.1.2          state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.3           anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             10.133.1.3          state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.4           anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             10.133.1.4          state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.83          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             10.133.1.83         state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.89          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             10.133.1.89         state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.40          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             10.133.1.40         state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.20          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             10.133.1.20         state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.50          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             10.133.1.50         state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.22          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.23          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.24          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.25          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.26          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.27          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.28          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.29          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.30          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.21          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.51          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             10.133.1.51         state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.45          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             10.133.1.45         state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.58          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             10.133.1.58         state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.59          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             10.133.1.59         state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.88          anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             10.133.1.88         state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.102         anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             10.133.1.102        state RELATED,ESTABLISHED
ACCEPT     udp  --  bank.office.mtk      84.204.34.245       udp dpt:87
ACCEPT     udp  --  84.204.34.245        bank.office.mtk     
ACCEPT     udp  --  etran.office.mtk     91.212.146.12       udp dpt:55777
ACCEPT     udp  --  91.212.146.12        etran.office.mtk   
ACCEPT     tcp  --  storage.office.mtk   205.188.0.0/16      tcp dpt:aol state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  storage.office.mtk   64.12.0.0/16        tcp dpt:aol state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  205.188.0.0/16       storage.office.mtk  tcp spt:aol state RELATED,ESTABLISHED
ACCEPT     tcp  --  64.12.0.0/16         storage.office.mtk  tcp spt:aol state RELATED,ESTABLISHED
ACCEPT     tcp  --  storage.office.mtk   anywhere            tcp dpt:xmpp-client state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             storage.office.mtk  tcp spt:xmpp-client state RELATED,ESTABLISHED
ACCEPT     tcp  --  storage.office.mtk   anywhere            tcp dpt:xmpp-server state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             storage.office.mtk  tcp spt:xmpp-server state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.80          94.100.178.0/24     tcp dpts:2041:2044 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  94.100.178.0/24      10.133.1.80         tcp spts:2041:2044 state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.80          anywhere            tcp dpt:https state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             10.133.1.80         tcp spt:https state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.81          anywhere            tcp dpt:https state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             10.133.1.81         tcp spt:https state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.87          anywhere            tcp dpt:https state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             10.133.1.87         tcp spt:https state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.78          anywhere            tcp dpt:https state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             10.133.1.78         tcp spt:https state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.74          anywhere            tcp dpt:https state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             10.133.1.74         tcp spt:https state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.75          anywhere            tcp dpt:https state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             10.133.1.75         tcp spt:https state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.76          anywhere            tcp dpt:https state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             10.133.1.76         tcp spt:https state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.73          anywhere            tcp dpt:https state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             10.133.1.73         tcp spt:https state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.71          anywhere            tcp dpt:https state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             10.133.1.71         tcp spt:https state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.67          anywhere            tcp dpt:https state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             10.133.1.67         tcp spt:https state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.161         anywhere            tcp dpt:https state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             10.133.1.161        tcp spt:https state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.77          anywhere            tcp dpt:https state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             10.133.1.77         tcp spt:https state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.236         anywhere            tcp dpt:https state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             10.133.1.236        tcp spt:https state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.242         anywhere            tcp dpt:https state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             10.133.1.242        tcp spt:https state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.88          anywhere            tcp dpt:https state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             10.133.1.88         tcp spt:https state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.77          205.188.0.0/16      tcp dpt:aol state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.77          64.12.0.0/16        tcp dpt:aol state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  205.188.0.0/16       10.133.1.77         tcp spt:aol state RELATED,ESTABLISHED
ACCEPT     tcp  --  64.12.0.0/16         10.133.1.77         tcp spt:aol state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.87          205.188.0.0/16      tcp dpt:aol state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.87          64.12.0.0/16        tcp dpt:aol state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  205.188.0.0/16       10.133.1.87         tcp spt:aol state RELATED,ESTABLISHED
ACCEPT     tcp  --  64.12.0.0/16         10.133.1.87         tcp spt:aol state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.87          94.100.178.0/24     tcp dpts:2041:2044 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  94.100.178.0/24      10.133.1.87         tcp spts:2041:2044 state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.167         anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             10.133.1.167        state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  storage.office.mtk   10.133.1.0/24       
ACCEPT     all  --  10.133.0.6           10.133.1.0/24       state RELATED,ESTABLISHED
ACCEPT     all  --  mail.office.mtk      10.133.1.0/24       state RELATED,ESTABLISHED
ACCEPT     all  --  DC1.office.mtk       10.133.1.0/24       state RELATED,ESTABLISHED
ACCEPT     all  --  storage.office.mtk   10.133.2.0/24       
ACCEPT     all  --  10.133.0.6           10.133.2.0/24       state RELATED,ESTABLISHED
ACCEPT     all  --  mail.office.mtk      10.133.2.0/24       state RELATED,ESTABLISHED
ACCEPT     all  --  DC1.office.mtk       10.133.2.0/24       state RELATED,ESTABLISHED
ACCEPT     all  --  sip.office.mtk       10.133.20.0/24     
ACCEPT     all  --  sip-02.office.mtk    10.133.20.0/24     
ACCEPT     all  --  esx.office.mtk       10.133.1.58         state RELATED,ESTABLISHED
ACCEPT     all  --  esx.office.mtk       10.133.1.60         state RELATED,ESTABLISHED
ACCEPT     all  --  esx.office.mtk       10.133.1.61         state RELATED,ESTABLISHED
ACCEPT     all  --  esx.office.mtk       10.133.1.77         state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.0/24        storage.office.mtk  state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.0/24        10.133.0.6          state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.0/24        DC1.office.mtk      state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.2.0/24        storage.office.mtk  state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.2.0/24        10.133.0.6          state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.2.0/24        DC1.office.mtk      state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.20.0/24       sip.office.mtk     
ACCEPT     all  --  10.133.20.0/24       sip-02.office.mtk   
ACCEPT     all  --  10.133.21.0/24       10.133.1.0/24       
ACCEPT     all  --  10.133.0.50          10.133.1.0/24       
ACCEPT     all  --  10.133.1.0/24        10.133.0.50         state RELATED,ESTABLISHED
ACCEPT     tcp  --  etran.office.mtk     10.133.1.77         tcp dpt:microsoft-ds state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.77          etran.office.mtk    tcp spt:microsoft-ds state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.58          esx.office.mtk      tcp dpt:https state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.58          esx.office.mtk      tcp dpt:902 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.60          esx.office.mtk      state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.61          esx.office.mtk      tcp dpt:https state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.61          esx.office.mtk      tcp dpt:902 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.77          esx.office.mtk      state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.58          10.133.0.5         
ACCEPT     all  --  10.133.0.5           10.133.1.58         
ACCEPT     all  --  10.133.1.59          10.133.0.5         
ACCEPT     all  --  10.133.0.5           10.133.1.59         
ACCEPT     all  --  mail.office.mtk      10.133.1.15         state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.15          mail.office.mtk     state RELATED,ESTABLISHED
ACCEPT     tcp  --  mail.office.mtk      10.133.1.60         tcp dpt:microsoft-ds state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.60          mail.office.mtk     tcp spt:microsoft-ds state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.0/24        10.133.0.6          tcp dpts:3389:3390 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.2.0/24        10.133.0.6          tcp dpts:3389:3390 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.0/24        10.133.0.6          tcp dpt:microsoft-ds state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  10.133.0.6           10.133.1.10         state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  10.133.0.6           10.133.1.11         state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  10.133.0.6           10.133.1.15         state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.10          10.133.0.6          state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.11          10.133.0.6          state RELATED,ESTABLISHED
ACCEPT     all  --  10.133.1.15          10.133.0.6          state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.0/24        10.133.0.6          tcp dpt:microsoft-ds state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.0/24        mail.office.mtk     tcp dpt:www state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.0/24        mail.office.mtk     tcp dpt:https state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.0/24        mail.office.mtk     tcp dpt:8000 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.2.0/24        mail.office.mtk     tcp dpt:www state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.2.0/24        mail.office.mtk     tcp dpt:https state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.2.0/24        mail.office.mtk     tcp dpt:8000 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.0/24        storage.office.mtk  tcp dpt:microsoft-ds state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.2.0/24        storage.office.mtk  tcp dpt:microsoft-ds state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.0/24        storage.office.mtk  tcp dpt:xmpp-client state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.0/24        storage.office.mtk  tcp dpt:7777 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.2.0/24        storage.office.mtk  tcp dpt:xmpp-client state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.2.0/24        storage.office.mtk  tcp dpt:7777 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.0/24        storage.office.mtk  tcp dpt:8530 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.0/24        storage.office.mtk  tcp dpt:14000 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.0/24        storage.office.mtk  tcp dpt:13000 state NEW,RELATED,ESTABLISHED
ACCEPT     udp  --  10.133.1.0/24        DC1.office.mtk      udp dpt:kerberos state NEW,RELATED,ESTABLISHED
ACCEPT     udp  --  10.133.1.0/24        DC1.office.mtk      udp dpt:ntp state NEW,RELATED,ESTABLISHED
ACCEPT     udp  --  10.133.1.0/24        DC1.office.mtk      udp dpt:ldap state NEW,RELATED,ESTABLISHED
ACCEPT     udp  --  10.133.1.0/24        DC1.office.mtk      udp dpt:microsoft-ds state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.0/24        DC1.office.mtk      tcp dpt:kerberos state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.0/24        DC1.office.mtk      tcp dpt:loc-srv state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.0/24        DC1.office.mtk      tcp dpt:netbios-ssn state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.0/24        DC1.office.mtk      tcp dpt:ldap state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.0/24        DC1.office.mtk      tcp dpt:microsoft-ds state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.0/24        DC1.office.mtk      tcp dpt:ldaps state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.0/24        DC1.office.mtk      tcp dpt:1025 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.0/24        DC1.office.mtk      tcp dpts:3268:3269 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.1.0/24        DC1.office.mtk      tcp dpts:50001:50003 state NEW,RELATED,ESTABLISHED
ACCEPT     icmp --  10.133.1.0/24        DC1.office.mtk     
ACCEPT     udp  --  10.133.2.0/24        DC1.office.mtk      udp dpt:kerberos state NEW,RELATED,ESTABLISHED
ACCEPT     udp  --  10.133.2.0/24        DC1.office.mtk      udp dpt:ntp state NEW,RELATED,ESTABLISHED
ACCEPT     udp  --  10.133.2.0/24        DC1.office.mtk      udp dpt:ldap state NEW,RELATED,ESTABLISHED
ACCEPT     udp  --  10.133.2.0/24        DC1.office.mtk      udp dpt:microsoft-ds state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.2.0/24        DC1.office.mtk      tcp dpt:kerberos state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.2.0/24        DC1.office.mtk      tcp dpt:loc-srv state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.2.0/24        DC1.office.mtk      tcp dpt:netbios-ssn state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.2.0/24        DC1.office.mtk      tcp dpt:ldap state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.2.0/24        DC1.office.mtk      tcp dpt:microsoft-ds state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.2.0/24        DC1.office.mtk      tcp dpt:ldaps state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.2.0/24        DC1.office.mtk      tcp dpt:1025 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.2.0/24        DC1.office.mtk      tcp dpts:3268:3269 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  10.133.2.0/24        DC1.office.mtk      tcp dpts:50001:50003 state NEW,RELATED,ESTABLISHED
ACCEPT     icmp --  10.133.2.0/24        DC1.office.mtk     

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  10.133.1.1           10.133.1.0/24       state RELATED,ESTABLISHED
ACCEPT     all  --  gate.office.mtk      10.133.0.0/24       state RELATED,ESTABLISHED

Gate2

(Нажмите, чтобы показать/скрыть)

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination   

[fisher74]

iptables-save пожалуйста, а не выгрызки.

[stink]

Gate1

(Нажмите, чтобы показать/скрыть)

iptables-save
# Generated by iptables-save v1.4.4 on Mon Jan 28 13:28:34 2013
*nat
:PREROUTING ACCEPT [697677:72613158]
:POSTROUTING ACCEPT [207583:24675869]
:OUTPUT ACCEPT [116591:8233902]
:localnets - [0:0]
-A PREROUTING -j localnets
-A PREROUTING -s 10.133.1.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 10.133.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d XX.XX.XX.XX/32 -p tcp -m tcp --dport 25 -j DNAT --to-destination 10.133.0.20
-A PREROUTING -d XX.XX.XX.XX/32 -p tcp -m tcp --dport 7071 -j DNAT --to-destination 10.133.0.20
-A PREROUTING -d XX.XX.XX.XX/32 -p tcp -m tcp --dport 25 -j DNAT --to-destination 10.133.0.20
-A PREROUTING -d XX.XX.XX.XX/32 -p tcp -m tcp --dport 5222 -j DNAT --to-destination 10.133.0.3
-A PREROUTING -d XX.XX.XX.XX/32 -p tcp -m tcp --dport 5269 -j DNAT --to-destination 10.133.0.3
-A POSTROUTING -o eth0 -j SNAT --to-source XX.XX.XX.XX
-A localnets -d 192.168.0.0/24 -j ACCEPT
-A localnets -d 192.168.1.0/24 -j ACCEPT
-A localnets -d 192.168.20.0/24 -j ACCEPT
-A localnets -d 192.168.21.0/24 -j ACCEPT
COMMIT
# Completed on Mon Jan 28 13:28:34 2013
# Generated by iptables-save v1.4.4 on Mon Jan 28 13:28:34 2013
*filter
:INPUT ACCEPT [552850:495625696]
:FORWARD ACCEPT [1961885:2005658719]
:OUTPUT ACCEPT [511898:245028237]
-A INPUT -i lo -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -i ppp0 -j ACCEPT
-A INPUT -i ppp1 -j ACCEPT
-A INPUT -i ppp2 -j ACCEPT
-A INPUT -i ppp3 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --name SSH --rsource -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
-A INPUT -s 10.133.0.50/32 -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -i eth2 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth2 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 10.133.20.0/24 -d 10.133.0.25/32 -j ACCEPT
-A INPUT -s 10.133.20.0/24 -d 10.133.0.27/32 -j ACCEPT
-A INPUT -s 10.133.1.0/24 -d 10.133.1.1/32 -i eth2 -p tcp -m tcp --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 10.133.0.0/24 -d 10.133.0.1/32 -i eth1 -p tcp -m tcp --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 10.133.1.0/24 -d 10.133.1.1/32 -i eth2 -p tcp -m tcp --dport 3128 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 10.133.0.0/24 -d 10.133.0.1/32 -i eth1 -p tcp -m tcp --dport 3128 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 10.133.1.0/24 -d 10.133.1.1/32 -i eth2 -p tcp -m tcp --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 10.133.0.0/24 -d 10.133.0.1/32 -i eth1 -p tcp -m tcp --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 10.133.1.79/32 -d 10.133.1.1/32 -i eth2 -p tcp -m tcp --dport 445 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 10.133.1.80/32 -d 10.133.1.1/32 -i eth2 -p tcp -m tcp --dport 445 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 10.133.1.81/32 -d 10.133.1.1/32 -i eth2 -p tcp -m tcp --dport 445 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp1 -j ACCEPT
-A FORWARD -o ppp1 -j ACCEPT
-A FORWARD -i ppp2 -j ACCEPT
-A FORWARD -o ppp2 -j ACCEPT
-A FORWARD -i ppp3 -j ACCEPT
-A FORWARD -o ppp3 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -d 255.255.255.255/32 -i eth0 -p udp -j DROP
-A FORWARD -d 255.255.255.255/32 -i eth1 -p udp -j DROP
-A FORWARD -d 255.255.255.255/32 -i eth2 -p udp -j DROP
-A FORWARD -d 192.150.14.0/24 -j DROP
-A FORWARD -d 192.150.15.0/24 -j DROP
-A FORWARD -d 192.150.16.0/24 -j DROP
-A FORWARD -d 188.127.243.0/24 -j DROP
-A FORWARD -s 10.133.0.20/32 -i eth1 -o eth0 -p tcp -m tcp --sport 25 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.0.20/32 -i eth1 -o eth0 -p tcp -m tcp --sport 7071 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.0.20/32 -i eth1 -o 81.24.131.132 -p tcp -m tcp --sport 25 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.0.20/32 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -d 10.133.0.3/32 -p tcp -m tcp --dport 5222 -j ACCEPT
-A FORWARD -s 10.133.0.3/32 -i eth1 -o eth0 -p tcp -m tcp --sport 5222 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.0.3/32 -p tcp -m tcp --dport 5269 -j ACCEPT
-A FORWARD -s 10.133.0.3/32 -i eth1 -o eth0 -p tcp -m tcp --sport 5269 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.0.20/32 -i eth1 -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.0.20/32 -i eth0 -o eth1 -p tcp -m tcp --sport 25 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.18/32 -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.18/32 -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.16/32 -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.16/32 -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.17/32 -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.17/32 -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.7/32 -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.7/32 -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.12/32 -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.12/32 -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.14/32 -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.14/32 -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.5/32 -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.5/32 -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.6/32 -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.6/32 -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.2/32 -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.2/32 -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.3/32 -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.3/32 -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.4/32 -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.4/32 -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.83/32 -i eth2 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.83/32 -i eth0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.89/32 -i eth2 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.89/32 -i eth0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.40/32 -i eth2 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.40/32 -i eth0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.20/32 -i eth2 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.20/32 -i eth0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.50/32 -i eth2 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.50/32 -i eth0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.22/32 -i eth2 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.23/32 -i eth2 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.24/32 -i eth2 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.25/32 -i eth2 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.26/32 -i eth2 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.27/32 -i eth2 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.28/32 -i eth2 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.29/32 -i eth2 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.30/32 -i eth2 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.21/32 -i eth2 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.51/32 -i eth2 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.51/32 -i eth0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.45/32 -i eth2 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.45/32 -i eth0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.58/32 -i eth2 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.58/32 -i eth0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.59/32 -i eth2 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.59/32 -i eth0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.88/32 -i eth2 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.88/32 -i eth0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.102/32 -i eth2 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.102/32 -i eth0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.0.31/32 -d 84.204.34.245/32 -i eth1 -o eth0 -p udp -m udp --dport 87 -j ACCEPT
-A FORWARD -s 84.204.34.245/32 -d 10.133.0.31/32 -i eth0 -o eth1 -p udp -j ACCEPT
-A FORWARD -s 10.133.0.30/32 -d 91.212.146.12/32 -i eth1 -o eth0 -p udp -m udp --dport 55777 -j ACCEPT
-A FORWARD -s 91.212.146.12/32 -d 10.133.0.30/32 -i eth0 -o eth1 -p udp -j ACCEPT
-A FORWARD -s 10.133.0.3/32 -d 205.188.0.0/16 -i eth1 -o eth0 -p tcp -m tcp --dport 5190 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.0.3/32 -d 64.12.0.0/16 -i eth1 -o eth0 -p tcp -m tcp --dport 5190 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 205.188.0.0/16 -d 10.133.0.3/32 -i eth0 -o eth1 -p tcp -m tcp --sport 5190 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 64.12.0.0/16 -d 10.133.0.3/32 -i eth0 -o eth1 -p tcp -m tcp --sport 5190 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.0.3/32 -i eth1 -o eth0 -p tcp -m tcp --dport 5222 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.0.3/32 -i eth0 -o eth1 -p tcp -m tcp --sport 5222 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.0.3/32 -i eth1 -o eth0 -p tcp -m tcp --dport 5269 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.0.3/32 -i eth0 -o eth1 -p tcp -m tcp --sport 5269 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.80/32 -d 94.100.178.0/24 -i eth2 -o eth0 -p tcp -m tcp --dport 2041:2044 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 94.100.178.0/24 -d 10.133.1.80/32 -i eth0 -o eth2 -p tcp -m tcp --sport 2041:2044 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.80/32 -i eth2 -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.80/32 -i eth0 -o eth2 -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.81/32 -i eth2 -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.81/32 -i eth0 -o eth2 -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.87/32 -i eth2 -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.87/32 -i eth0 -o eth2 -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.78/32 -i eth2 -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.78/32 -i eth0 -o eth2 -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.74/32 -i eth2 -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.74/32 -i eth0 -o eth2 -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.75/32 -i eth2 -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.75/32 -i eth0 -o eth2 -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.76/32 -i eth2 -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.76/32 -i eth0 -o eth2 -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.73/32 -i eth2 -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.73/32 -i eth0 -o eth2 -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.71/32 -i eth2 -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.71/32 -i eth0 -o eth2 -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.67/32 -i eth2 -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.67/32 -i eth0 -o eth2 -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.161/32 -i eth2 -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.161/32 -i eth0 -o eth2 -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.77/32 -i eth2 -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.77/32 -i eth0 -o eth2 -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.236/32 -i eth2 -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.236/32 -i eth0 -o eth2 -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.242/32 -i eth2 -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.242/32 -i eth0 -o eth2 -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.88/32 -i eth2 -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.88/32 -i eth0 -o eth2 -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.77/32 -d 205.188.0.0/16 -i eth2 -o eth0 -p tcp -m tcp --dport 5190 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.77/32 -d 64.12.0.0/16 -i eth2 -o eth0 -p tcp -m tcp --dport 5190 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 205.188.0.0/16 -d 10.133.1.77/32 -i eth0 -o eth2 -p tcp -m tcp --sport 5190 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 64.12.0.0/16 -d 10.133.1.77/32 -i eth0 -o eth2 -p tcp -m tcp --sport 5190 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.87/32 -d 205.188.0.0/16 -i eth2 -o eth0 -p tcp -m tcp --dport 5190 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.87/32 -d 64.12.0.0/16 -i eth2 -o eth0 -p tcp -m tcp --dport 5190 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 205.188.0.0/16 -d 10.133.1.87/32 -i eth0 -o eth2 -p tcp -m tcp --sport 5190 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 64.12.0.0/16 -d 10.133.1.87/32 -i eth0 -o eth2 -p tcp -m tcp --sport 5190 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.87/32 -d 94.100.178.0/24 -i eth2 -o eth0 -p tcp -m tcp --dport 2041:2044 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 94.100.178.0/24 -d 10.133.1.87/32 -i eth0 -o eth2 -p tcp -m tcp --sport 2041:2044 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.167/32 -i eth2 -o eth0 -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.133.1.167/32 -i eth0 -o eth2 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth2 -j ACCEPT
-A FORWARD -s 10.133.0.3/32 -d 10.133.1.0/24 -i eth1 -o eth2 -j ACCEPT
-A FORWARD -s 10.133.0.6/32 -d 10.133.1.0/24 -i eth1 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.0.20/32 -d 10.133.1.0/24 -i eth1 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.0.2/32 -d 10.133.1.0/24 -i eth1 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.0.3/32 -d 10.133.2.0/24 -i eth1 -o tap0 -j ACCEPT
-A FORWARD -s 10.133.0.6/32 -d 10.133.2.0/24 -i eth1 -o tap0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.0.20/32 -d 10.133.2.0/24 -i eth1 -o tap0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.0.2/32 -d 10.133.2.0/24 -i eth1 -o tap0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.0.25/32 -d 10.133.20.0/24 -j ACCEPT
-A FORWARD -s 10.133.0.27/32 -d 10.133.20.0/24 -j ACCEPT
-A FORWARD -s 10.133.0.4/32 -d 10.133.1.58/32 -i eth1 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.0.4/32 -d 10.133.1.60/32 -i eth1 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.0.4/32 -d 10.133.1.61/32 -i eth1 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.0.4/32 -d 10.133.1.77/32 -i eth1 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.3/32 -i eth2 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.6/32 -i eth2 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.2/32 -i eth2 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.3/32 -i tap0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.6/32 -i tap0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.2/32 -i tap0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.20.0/24 -d 10.133.0.25/32 -j ACCEPT
-A FORWARD -s 10.133.20.0/24 -d 10.133.0.27/32 -j ACCEPT
-A FORWARD -s 10.133.21.0/24 -d 10.133.1.0/24 -j ACCEPT
-A FORWARD -s 10.133.0.50/32 -d 10.133.1.0/24 -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.50/32 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.0.30/32 -d 10.133.1.77/32 -i eth1 -o eth2 -p tcp -m tcp --dport 445 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.77/32 -d 10.133.0.30/32 -i eth2 -o eth1 -p tcp -m tcp --sport 445 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.58/32 -d 10.133.0.4/32 -i eth2 -o eth1 -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.58/32 -d 10.133.0.4/32 -i eth2 -o eth1 -p tcp -m tcp --dport 902 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.60/32 -d 10.133.0.4/32 -i eth2 -o eth1 -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.61/32 -d 10.133.0.4/32 -i eth2 -o eth1 -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.61/32 -d 10.133.0.4/32 -i eth2 -o eth1 -p tcp -m tcp --dport 902 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.77/32 -d 10.133.0.4/32 -i eth2 -o eth1 -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.58/32 -d 10.133.0.5/32 -i eth2 -o eth1 -j ACCEPT
-A FORWARD -s 10.133.0.5/32 -d 10.133.1.58/32 -i eth1 -o eth2 -j ACCEPT
-A FORWARD -s 10.133.1.59/32 -d 10.133.0.5/32 -i eth2 -o eth1 -j ACCEPT
-A FORWARD -s 10.133.0.5/32 -d 10.133.1.59/32 -i eth1 -o eth2 -j ACCEPT
-A FORWARD -s 10.133.0.20/32 -d 10.133.1.15/32 -i eth1 -o eth2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.15/32 -d 10.133.0.20/32 -i eth2 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.0.20/32 -d 10.133.1.60/32 -i eth1 -o eth2 -p tcp -m tcp --dport 445 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.60/32 -d 10.133.0.20/32 -i eth2 -o eth1 -p tcp -m tcp --sport 445 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.6/32 -i eth2 -o eth1 -p tcp -m tcp --dport 3389:3390 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.6/32 -i tap0 -o eth1 -p tcp -m tcp --dport 3389:3390 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.6/32 -i eth2 -o eth1 -p tcp -m tcp --dport 445 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.0.6/32 -d 10.133.1.10/32 -i eth1 -o eth2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.0.6/32 -d 10.133.1.11/32 -i eth1 -o eth2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.0.6/32 -d 10.133.1.15/32 -i eth1 -o eth2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.10/32 -d 10.133.0.6/32 -i eth2 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.11/32 -d 10.133.0.6/32 -i eth2 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.15/32 -d 10.133.0.6/32 -i eth2 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.6/32 -i tap0 -o eth1 -p tcp -m tcp --dport 445 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.20/32 -i eth2 -o eth1 -p tcp -m tcp --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.20/32 -i eth2 -o eth1 -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.20/32 -i eth2 -o eth1 -p tcp -m tcp --dport 8000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.20/32 -i tap0 -o eth1 -p tcp -m tcp --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.20/32 -i tap0 -o eth1 -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.20/32 -i tap0 -o eth1 -p tcp -m tcp --dport 8000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.3/32 -i eth2 -o eth1 -p tcp -m tcp --dport 445 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.3/32 -i tap0 -o eth1 -p tcp -m tcp --dport 445 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.3/32 -i eth2 -o eth1 -p tcp -m tcp --dport 5222 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.3/32 -i eth2 -o eth1 -p tcp -m tcp --dport 7777 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.3/32 -i tap0 -o eth1 -p tcp -m tcp --dport 5222 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.3/32 -i tap0 -o eth1 -p tcp -m tcp --dport 7777 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.3/32 -i eth2 -o eth1 -p tcp -m tcp --dport 8530 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.3/32 -i eth2 -o eth1 -p tcp -m tcp --dport 14000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.3/32 -i eth2 -o eth1 -p tcp -m tcp --dport 13000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.2/32 -i eth2 -o eth1 -p udp -m udp --dport 88 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.2/32 -i eth2 -o eth1 -p udp -m udp --dport 123 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.2/32 -i eth2 -o eth1 -p udp -m udp --dport 389 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.2/32 -i eth2 -o eth1 -p udp -m udp --dport 445 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.2/32 -i eth2 -o eth1 -p tcp -m tcp --dport 88 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.2/32 -i eth2 -o eth1 -p tcp -m tcp --dport 135 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.2/32 -i eth2 -o eth1 -p tcp -m tcp --dport 139 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.2/32 -i eth2 -o eth1 -p tcp -m tcp --dport 389 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.2/32 -i eth2 -o eth1 -p tcp -m tcp --dport 445 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.2/32 -i eth2 -o eth1 -p tcp -m tcp --dport 636 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.2/32 -i eth2 -o eth1 -p tcp -m tcp --dport 1025 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.2/32 -i eth2 -o eth1 -p tcp -m tcp --dport 3268:3269 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.2/32 -i eth2 -o eth1 -p tcp -m tcp --dport 50001:50003 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.1.0/24 -d 10.133.0.2/32 -i eth2 -o eth1 -p icmp -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.2/32 -i tap0 -o eth1 -p udp -m udp --dport 88 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.2/32 -i tap0 -o eth1 -p udp -m udp --dport 123 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.2/32 -i tap0 -o eth1 -p udp -m udp --dport 389 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.2/32 -i tap0 -o eth1 -p udp -m udp --dport 445 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.2/32 -i tap0 -o eth1 -p tcp -m tcp --dport 88 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.2/32 -i tap0 -o eth1 -p tcp -m tcp --dport 135 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.2/32 -i tap0 -o eth1 -p tcp -m tcp --dport 139 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.2/32 -i tap0 -o eth1 -p tcp -m tcp --dport 389 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.2/32 -i tap0 -o eth1 -p tcp -m tcp --dport 445 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.2/32 -i tap0 -o eth1 -p tcp -m tcp --dport 636 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.2/32 -i tap0 -o eth1 -p tcp -m tcp --dport 1025 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.2/32 -i tap0 -o eth1 -p tcp -m tcp --dport 3268:3269 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.2/32 -i tap0 -o eth1 -p tcp -m tcp --dport 50001:50003 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.133.2.0/24 -d 10.133.0.2/32 -i tap0 -o eth1 -p icmp -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp1 -j ACCEPT
-A OUTPUT -o ppp2 -j ACCEPT
-A OUTPUT -o ppp3 -j ACCEPT
-A OUTPUT -s 10.133.1.1/32 -d 10.133.1.0/24 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -s 10.133.0.1/32 -d 10.133.0.0/24 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Mon Jan 28 13:28:34 2013

Gate2

(Нажмите, чтобы показать/скрыть)

iptables-save
# Generated by iptables-save v1.4.4 on Mon Jan 28 13:23:09 2013
*nat
:PREROUTING ACCEPT [7779037:515133528]
:POSTROUTING ACCEPT [9838065:601978986]
:OUTPUT ACCEPT [3569191:231218682]
COMMIT
# Completed on Mon Jan 28 13:23:09 2013
# Generated by iptables-save v1.4.4 on Mon Jan 28 13:23:09 2013
*filter
:INPUT ACCEPT [648360:240021760]
:FORWARD ACCEPT [114897:5919627]
:OUTPUT ACCEPT [720231:390270502]
-A INPUT -i tap0 -j ACCEPT
-A FORWARD -i tap0 -j ACCEPT
-A FORWARD -o tap0 -j ACCEPT
COMMIT
# Completed on Mon Jan 28 13:23:09 2013

[fisher74]

Вы, как минимум, не маскарадите порт смотрящий в интернет.
А заодно покажите, что вернёт команда
sysctl net.ipv4.ip_forward

[stink]

net.ipv4.ip_forward = 1

[fisher74]

Вы, как минимум, не маскарадите порт смотрящий в интернет.

[stink]

Дописал правило
iptables -t nat -A POSTROUTING -s 10.133.2.0/24 ! -d 10.133.2.0/24 -j MASQUERADE
Не работает

[koshev]

Прошу прощения за то, что вклиниваюсь в Вашу беседу, но маскарад в данном случае не нужен, поскольку на gate1 есть правило SNAT.
-A POSTROUTING -o eth0 -j SNAT --to-source 81.24.131.131
( Это о шпиономании, к слову )
Было бы интересно узнать следующее:
таблицы маршрутизации с узлов gate1 и gate2
ip -4 r s t all type unicast

[fisher74]

О, да. Извините. Запутал переход на пользовательскую таблицу.
Виноват.