Цепочка forward, как правильно готовить?

[mofo]

Преамбула: В мануале фраза: "Политика по умолчанию, это политика применяемая к пакетам, к которым не подошло ни одно из правил описанных в цепочке.."

Исходные данные: сервер, у него два интерфейса, один (enp1s0 с адресом 192.168.50.200 смотрит в сеть 192.168.50.0/24, второй (tun0 с адресом 10.8.0.1) смотрит в 10.8.0.0/16.

Задача: Определённым хостам из сети 10.8.х.х дать доступ к определённым хостам в сети 192.168.50.х

Решение:

Код: (bash) [Выделить]

#чистим iptables
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
iptables -F
iptables -t filter -X
iptables -t nat -X
iptables -t mangle -X
iptables -X

#Открываем входящие, исходящие, закрываем транзит.
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#Открываем транзит пакету если он идёт с 10.8.0.4 на 192.168.50.1
iptables -A FORWARD -s 10.8.0.4 -d 192.168.50.1 -j ACCEPT

#Включаем маскарадинг для виртуальной сети
iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o enp1s0 -j MASQUERADEВопрос: Что сделано не правильно?

[bezbo]

iptables -P FORWARD DROP

вы уверены?

[mofo]

В чём? В том что это политика по умолчанию для транзитных пакетов? или в чём?

[bezbo]

В чём?

сначала дропнули транзитный трафик, а потом пытаетесь управлять тем чего уже нет...

[mofo]

Правильно ли я понял что дело в ОЧЕРЁДНОСТИ следования правил?
Если да то почему работает такая конструкция:

iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT

это кусок конфигурации на том же сервере, именно в такой очерёдности.

[bezbo]

попробуйте прочитать викиучебник по iptables