Ограничить ресурсы apache, направить внутренний HTTP-трафик в squid

[BSB]

Спасибо, буду тестить

Пользователь решил продолжить мысль 17 Августа 2013, 00:16:00:Забыл, что у меня крутится Mythtv:

Код: [Выделить]

2013-08-17 02:14:28.433664 I  New static DB connectionSchedCon
2013-08-17 02:14:28.438464 I  Listening on TCP 127.0.0.1:6544
2013-08-17 02:14:28.466318 I  Listening on TCP [::1]:6544
2013-08-17 02:14:28.466430 I  Listening on TCP [fe80::fa1a:67ff:fe03:6568%eth0]:6544
2013-08-17 02:14:28.466532 E  Failed listening on TCP [fe80::21b:fcff:febe:9865%eth1]:6544 - Error 9: The address is not available
2013-08-17 02:14:28.466630 E  MediaServer::HttpServer Create Error
2013-08-17 02:14:28.467880 I  Listening on TCP 127.0.0.1:6543
2013-08-17 02:14:28.474773 I  Listening on TCP [::1]:6543
2013-08-17 02:14:28.474867 I  Listening on TCP [fe80::fa1a:67ff:fe03:6568%eth0]:6543
2013-08-17 02:14:28.474923 E  Failed listening on TCP [fe80::21b:fcff:febe:9865%eth1]:6543 - Error 9: The address is not available
Туплю, каких правил не хватает?

[ArcFi]

2013-08-17 02:14:28.466430 I  Listening on TCP [fe80::fa1a:67ff:fe03:6568%eth0]:6544
2013-08-17 02:14:28.466532 E  Failed listening on TCP [fe80::21b:fcff:febe:9865%eth1]:6544 - Error 9: The address is not available

Надо в настройках сервиса отключить биндинг на IPv6.
Либо отключить IPv6 в конфигурации сетевого подключения.

И судя по приведённому логу, имеет смысл добавить 6543/tcp, 6544/tcp.
Кроме того, не забываем про DNS (53/tcp, 53/udp), DHCP (67/udp), NTP (123/udp).

А если не слишком пароноить, то можно разрешить весь входящий траф из локалки:

Код: [Выделить]

-A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT

[AnrDaemon]

Нужно, иначе нигде интернета не будет.

[ArcFi]

Внёс поправки для DNS, DHCP, NTP.

[BSB]

ага, добавил, начинаю немного въезжать.
еще два вопроса:
- для MythTV есть wifi-устройство, оно цепляется на wlan0 и ломится на 6543-6544 - его каким образом нужно прописать?
- и нужно ли описывать правила для локалхоста?

если что:

Код: [Выделить]

ifconfig wlan0 inet 192.168.2.1 netmask 255.255.255.0

[ArcFi]

BSB, добавил аналогичные правила для интерфейса wlan0 и сети 192.168.2.0/24:
https://forum.ubuntu.ru/index.php?topic=227155.msg1766716#msg1766716

[BSB]

ага, поправил, спасибо! там, кстати, устройству большого размаха не нужно - дальше сервера ему делать нечего, так что я по-другому немного сделал правку, благо суть понял

всё-таки не могу я победить этот бэкэнд:

Код: [Выделить]

2013-08-17 03:27:46.109826 I  Listening on TCP 127.0.0.1:6544
2013-08-17 03:27:46.278149 I  Listening on TCP [::1]:6544
2013-08-17 03:27:46.278262 I  Listening on TCP [fe80::fa1a:67ff:fe03:6568%eth0]:6544
2013-08-17 03:27:46.283039 E  Failed listening on TCP [fe80::21b:fcff:febe:9865%eth1]:6544 - Error 9: The address is not available
2013-08-17 03:27:46.283226 E  MediaServer::HttpServer Create Error
2013-08-17 03:27:46.284744 I  Listening on TCP 127.0.0.1:6543
2013-08-17 03:27:46.287993 I  Listening on TCP [::1]:6543
2013-08-17 03:27:46.288108 I  Listening on TCP [fe80::fa1a:67ff:fe03:6568%eth0]:6543
2013-08-17 03:27:46.288187 E  Failed listening on TCP [fe80::21b:fcff:febe:9865%eth1]:6543 - Error 9: The address is not available
в настройках ipv6=:::1
что не так, не пойму (MythTV v.0.26, если что)

может нужно что-то для localhost прописать в правила?

[AnrDaemon]

ipv6=[::1]
Вроде так правильно.
Либо без скобок, но всё равно - две колонки, а не три.

[BSB]

кстати, выяснилось, что на компах интернета всё-таки нет.

запрашиваемый хост пингуется, но
- с прокси пишет, что отказано в доступе. Тут я еще покопаю squid, второпях ставил;
- а вот без прокси долго тупит, потом пишет, что нет соединения.
Пользователь решил продолжить мысль 17 Августа 2013, 09:13:37:Бессонная ночь "ниачом". С клиентской тачки:

Код: [Выделить]

$ ifconfig eth0

eth0      Link encap:Ethernet  HWaddr 00:16:e6:d9:b2:56 
          inet addr:192.168.0.4  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::216:e6ff:fed9:b256/64 Scope:Link

$ sudo route add default gw 192.168.0.1

$ ping -c 1 192.168.0.1 && ping -c 1 8.8.8.8 && ping -c 1 ya.ru && wget ya.ru

PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.
64 bytes from 192.168.0.1: icmp_req=1 ttl=64 time=0.309 ms
--- 192.168.0.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.309/0.309/0.309/0.000 ms

PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_req=1 ttl=48 time=41.4 ms
--- 8.8.8.8 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 41.459/41.459/41.459/0.000 ms

PING ya.ru (87.250.251.3) 56(84) bytes of data.
64 bytes from www.yandex.ru (87.250.251.3): icmp_req=1 ttl=51 time=82.3 ms
--- ya.ru ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 82.384/82.384/82.384/0.000 ms

--2013-08-17 11:10:32--  http://ya.ru/
Распознаётся ya.ru (ya.ru)... 93.158.134.3, 87.250.251.3, 87.250.250.203, ...
Подключение к ya.ru (ya.ru)|93.158.134.3|:80... сбой: Нет маршрута до узла.
Подключение к ya.ru (ya.ru)|87.250.251.3|:80... сбой: Нет маршрута до узла.


[ArcFi]

BSB, на клиентах как сеть настроена?
Если динамика, то показывайте конфиг DHCP-сервера, если статика, то — конфиг интерфейсов.
И что у вас там за непонятки с дефолтным шлюзом?

[BSB]

Клиенты настроены статикой. С дефолтным шлюзом всё в порядке, просто долго было вчера сегодня переписывать.

Код: [Выделить]

auto eth0
iface eth0 inet static
address 192.168.0.4
netmask 255.255.255.0
gateway 192.168.1.1
dns-nameservers 8.8.8.8


Код: [Выделить]

*nat
:PREROUTING ACCEPT [8:3810]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [62:4084]
:POSTROUTING ACCEPT [62:4084]
-A PREROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128
-A PREROUTING -s 192.168.2.0/24 ! -d 192.168.2.0/24 -i wlan0 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.2.0/24 ! -d 192.168.2.0/24 -o eth0 -j MASQUERADE
COMMIT


*mangle
:PREROUTING ACCEPT [334:54870]
:INPUT ACCEPT [334:54870]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [226:23305]
:POSTROUTING ACCEPT [230:23671]
COMMIT


*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [226:23305]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT

# снаружи пускаем: 1) HTTP, FTP
-A INPUT -s 192.168.1.0/24 -i eth0 -p tcp -m conntrack --ctstate NEW -m multiport --dports 80,46778,46779 -j ACCEPT
# 2) Torrents
-A INPUT -s 192.168.1.0/24 -i eth0 -p tcp -m conntrack --ctstate NEW -m multiport --dports 46881:46888 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i eth0 -p udp -m conntrack --ctstate NEW -m udp --dport 46880 -j ACCEPT

# изнутри 6543/tcp,6544/tcp,22/tcp,80/tcp и DNS 53/udp,DHCP 67/udp,NTP 123/udp:
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m conntrack --ctstate NEW -m multiport --dports 22,53,80,6543,6544 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p udp -m conntrack --ctstate NEW -m multiport --dports 53,67,123 -j ACCEPT
-A INPUT -s 192.168.2.0/24 -i wlan0 -p tcp -m conntrack --ctstate NEW -m multiport --dports 22,53,80,6543,6544 -j ACCEPT
-A INPUT -s 192.168.2.0/24 -i wlan0 -p udp -m conntrack --ctstate NEW -m multiport --dports 53,67,123 -j ACCEPT

# блочим брутфорс
-A INPUT -s 192.168.1.0/24 -d 192.168.1.100/32 -p tcp --dport 80 -m connlimit --connlimit-above 7 -j REJECT

-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -s 192.168.0.0/24 ! -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT


(Нажмите, чтобы показать/скрыть)

А вообще, я хотел бы на этом шлюзе поднять DHCP и DNS-сервер, но пока просто боюсь браться - знаний не хватает.

Пользователь решил продолжить мысль 17 Августа 2013, 18:34:41:

ipv6=[::1]
Вроде так правильно.
Либо без скобок, но всё равно - две колонки, а не три.

поправил, но результат не изменился
Пользователь решил продолжить мысль 17 Августа 2013, 19:31:52:поотрубал в squid.conf все http_access deny ,,,
но счастья пока не наступило

[ArcFi]

Надеюсь, форвардинг не забыли включить:

Код: [Выделить]

sysctl net.ipv4.ip_forward?

А вообще, я хотел бы на этом шлюзе поднять DHCP и DNS-сервер

Как 2 пальца.

(Нажмите, чтобы показать/скрыть)

# cat /etc/dnsmasq.d/example.conf
# Common options
listen-address=192.168.0.1,192.168.2.1
bind-interfaces
bogus-priv
dhcp-authoritative
dhcp-option=vendor:MSFT,2,1i
domain-needed
strict-order

# DHCP-range and options, lan
dhcp-range=address:192.168.0.1,192.168.0.100,192.168.0.200,255.255.255.0,3h
dhcp-option=address:192.168.0.1,option:dns-server,192.168.0.1
dhcp-option=address:192.168.0.1,option:ntp-server,192.168.0.1
dhcp-option=address:192.168.0.1,option:router,192.168.0.1

# DHCP-range and options, wlan
dhcp-range=address:192.168.2.1,192.168.2.100,192.168.2.200,255.255.255.0,3h
dhcp-option=address:192.168.2.1,option:dns-server,192.168.2.1
dhcp-option=address:192.168.2.1,option:ntp-server,192.168.2.1
dhcp-option=address:192.168.2.1,option:router,192.168.2.1

auto eth0
iface eth0 inet static
address 192.168.0.4
netmask 255.255.255.0
gateway 192.168.1.1
dns-nameservers 8.8.8.8

http://nooooooooooooooo.com/

[BSB]

да,
sysctl net.ipv4.ip_forward = 1

gateway поправил, но безрезультатно
Пользователь решил продолжить мысль 17 Августа 2013, 20:35:09:а приведенный конфиг... Я так понял, что придется ставить какой-нибудь dhcp-devel. Не?

[AnrDaemon]

а приведенный конфиг... Я так понял, что придется ставить какой-нибудь dhcp-devel. Не?

http://nooooooooooooooo.com/
Идите и перечитывайте топик по расшариванию инета.

[BSB]

добавил форвардинг заголовков
-A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT

вот, в свете RTFM, подскажите, почему при таком конфиге

Код: [Выделить]

# Generated by iptables-save v1.4.12 on Sun Aug 18 01:48:48 2013
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:INBOUND - [0:0]
:LOG_FILTER - [0:0]
:LSI - [0:0]
:LSO - [0:0]
:OUTBOUND - [0:0]
-A INPUT -s 127.0.0.1/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 127.0.0.1/32 -p udp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m limit --limit 10/sec -j ACCEPT
-A INPUT -d 255.255.255.255/32 -i eth0 -j DROP
-A INPUT -d 192.168.1.255/32 -j DROP
-A INPUT -s 224.0.0.0/8 -j DROP
-A INPUT -d 224.0.0.0/8 -j DROP
-A INPUT -s 255.255.255.255/32 -j DROP
-A INPUT -d 0.0.0.0/32 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -m limit --limit 10/min -j LSI
-A INPUT -i eth0 -j INBOUND
-A INPUT -d 192.168.0.1/32 -i eth1 -j INBOUND
-A INPUT -d 192.168.1.100/32 -i eth1 -j INBOUND
-A INPUT -d 192.168.0.255/32 -i eth1 -j INBOUND
-A INPUT -j LOG_FILTER
-A INPUT -j LOG --log-prefix "Unknown Input" --log-level 6
-A FORWARD -p icmp -m limit --limit 10/sec -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth1 -j OUTBOUND
-A FORWARD -d 192.168.0.0/24 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.0/24 -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j LOG_FILTER
-A FORWARD -j LOG --log-prefix "Unknown Forward" --log-level 6
-A OUTPUT -s 192.168.1.100/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.1.100/32 -d 127.0.0.1/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 224.0.0.0/8 -j DROP
-A OUTPUT -d 224.0.0.0/8 -j DROP
-A OUTPUT -s 255.255.255.255/32 -j DROP
-A OUTPUT -d 0.0.0.0/32 -j DROP
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o eth0 -j OUTBOUND
-A OUTPUT -o eth1 -j OUTBOUND
-A OUTPUT -j LOG_FILTER
-A OUTPUT -j LOG --log-prefix "Unknown Output" --log-level 6
-A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -j LSI
-A LSI -j LOG_FILTER
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A LSI -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p icmp -m icmp --icmp-type 8 -j DROP
-A LSI -m limit --limit 5/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -j DROP
-A LSO -j LOG_FILTER
-A LSO -m limit --limit 5/sec -j LOG --log-prefix "Outbound " --log-level 6
-A LSO -j REJECT --reject-with icmp-port-unreachable
-A OUTBOUND -p icmp -j ACCEPT
-A OUTBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -j ACCEPT
COMMIT
# Completed on Sun Aug 18 01:48:48 2013
# Generated by iptables-save v1.4.12 on Sun Aug 18 01:48:48 2013
*mangle
:PREROUTING ACCEPT [5582:351859]
:INPUT ACCEPT [5582:351859]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5468:332365]
:POSTROUTING ACCEPT [5468:332694]
COMMIT
# Completed on Sun Aug 18 01:48:48 2013
# Generated by iptables-save v1.4.12 on Sun Aug 18 01:48:48 2013
*nat
:PREROUTING ACCEPT [60:12849]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [20:1565]
:POSTROUTING ACCEPT [6:507]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Aug 18 01:48:48 2013
# Generated by iptables-save v1.4.12 on Sun Aug 18 01:48:48 2013
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:INBOUND - [0:0]
:LOG_FILTER - [0:0]
:LSI - [0:0]
:LSO - [0:0]
:OUTBOUND - [0:0]
-A INPUT -s 127.0.0.1/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 127.0.0.1/32 -p udp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m limit --limit 10/sec -j ACCEPT
-A INPUT -d 255.255.255.255/32 -i eth0 -j DROP
-A INPUT -d 192.168.1.255/32 -j DROP
-A INPUT -s 224.0.0.0/8 -j DROP
-A INPUT -d 224.0.0.0/8 -j DROP
-A INPUT -s 255.255.255.255/32 -j DROP
-A INPUT -d 0.0.0.0/32 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -m limit --limit 10/min -j LSI
-A INPUT -i eth0 -j INBOUND
-A INPUT -d 192.168.0.1/32 -i eth1 -j INBOUND
-A INPUT -d 192.168.1.100/32 -i eth1 -j INBOUND
-A INPUT -d 192.168.0.255/32 -i eth1 -j INBOUND
-A INPUT -j LOG_FILTER
-A INPUT -j LOG --log-prefix "Unknown Input" --log-level 6
-A FORWARD -p icmp -m limit --limit 10/sec -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth1 -j OUTBOUND
-A FORWARD -d 192.168.0.0/24 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.0/24 -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j LOG_FILTER
-A FORWARD -j LOG --log-prefix "Unknown Forward" --log-level 6
-A OUTPUT -s 192.168.1.100/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.1.100/32 -d 127.0.0.1/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 224.0.0.0/8 -j DROP
-A OUTPUT -d 224.0.0.0/8 -j DROP
-A OUTPUT -s 255.255.255.255/32 -j DROP
-A OUTPUT -d 0.0.0.0/32 -j DROP
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o eth0 -j OUTBOUND
-A OUTPUT -o eth1 -j OUTBOUND
-A OUTPUT -j LOG_FILTER
-A OUTPUT -j LOG --log-prefix "Unknown Output" --log-level 6
-A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -j LSI
-A LSI -j LOG_FILTER
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A LSI -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p icmp -m icmp --icmp-type 8 -j DROP
-A LSI -m limit --limit 5/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -j DROP
-A LSO -j LOG_FILTER
-A LSO -m limit --limit 5/sec -j LOG --log-prefix "Outbound " --log-level 6
-A LSO -j REJECT --reject-with icmp-port-unreachable
-A OUTBOUND -p icmp -j ACCEPT
-A OUTBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -j ACCEPT
COMMIT
# Completed on Sun Aug 18 01:48:48 2013
# Generated by iptables-save v1.4.12 on Sun Aug 18 01:48:48 2013
*mangle
:PREROUTING ACCEPT [5582:351859]
:INPUT ACCEPT [5582:351859]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5468:332365]
:POSTROUTING ACCEPT [5468:332694]
COMMIT
# Completed on Sun Aug 18 01:48:48 2013
# Generated by iptables-save v1.4.12 on Sun Aug 18 01:48:48 2013
*nat
:PREROUTING ACCEPT [60:12849]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [20:1565]
:POSTROUTING ACCEPT [6:507]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Aug 18 01:48:48 2013
всё работает, а при таком

Код: [Выделить]

# Generated by iptables-save v1.4.12 on Sun Aug 18 01:51:36 2013
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Sun Aug 18 01:51:36 2013
# Generated by iptables-save v1.4.12 on Sun Aug 18 01:51:36 2013
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Sun Aug 18 01:51:36 2013
# Generated by iptables-save v1.4.12 on Sun Aug 18 01:51:36 2013
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Sun Aug 18 01:51:36 2013
дохнет?
Ведь всё везде разрешено?