Совсем не могу расшарить интернет

[MonoLife]

Возможно, это произошло после установки и удаления traffpro не могу вообще расшарить и-нет на виндовую машину в локальной сети:(. Хотя, до этого как-то получалось..
net.ipv4.ip_forward = 1

Link encap:Ethernet
eth0 смотрит в и-нет
eth1 локальная сеть диапазон адресов 192.168.0.101-192.168.0.112.

Боюсь, что я выгляжу как последний нуб, но глаза уже выпали на клаву, не то что красные. Читать маны и форумы не успеваю уже, нужен результат хотя бы временный, чтоб потом закреплять усвоенное.
Пожалуйста, подскажите что сделать, куда копать!

Как в iptables разрешить, например, двум машинам с ip-шниками 192.168.0.102 и 192.168.0.107 (и только им) доступ в и-нет через мой комп (очень нужен пример с участием этих ip).
На виндовых машинах прописан мой шлюз (192.168.0.101) и dns
Когда на моей машине загружена винда то указанные выше компы прекрасно коннектятся к инету.
Заранее благодарю за помощь!

[Yden]

нужно разрешить форвардинг на эти айпишники если он запрещён и прописать правило маскарадинга
примерно вот так
делать всё от рута
sudo su

разрешаем форвардинг пакетов в ядре
echo "1" > /proc/sys/net/ipv4/ip_forward
разрешаем форвардинг
iptables -I FORWARD 1 -s 192.168.0.102 -j ACCEPT    ###### -I  добавить правило в цепочку, FORWARD - цепочка в которую добавляем, 1 - номер правила
iptables -I FORWARD 1 -d 192.168.0.102 -j ACCEPT
iptables -I FORWARD 1 -s 192.168.0.107 -j ACCEPT
iptables -I FORWARD 1 -d 192.168.0.107 -j ACCEPT

добавляем маскарадинг

iptables -t nat POSTROUTING -s 192.168.0.102 -o eth0 -j MASQUERADE  #### -t nat указываем таблицу, -o eth0 указываем исходящий инет  интерфейс
iptables -t nat POSTROUTING -s 192.168.0.107 -o eth0 -j MASQUERADE

[MonoLife]

Спасибо, Yden !
Попробовал для 107-го сделать
На строчке

Код: [Выделить]

tables -t nat POSTROUTING -s 192.168.0.107 -o eth0 -j MASQUERADEконсоль ругнулась: Bad argument `POSTROUTING'
Тем не менее и-нет на 107 заработал:)
Пользователь решил продолжить мысль 21 Апреля 2010, 11:15:30:Нашел пример набора команд для настройки. Хотелось бы у себя нечто подобное организовать:

(Нажмите, чтобы показать/скрыть)

Разрешим пропуск трафика через шлюз (в противном случае трафик не проходит цепочку FORWARDING):
sysctl -w net.ipv4.ip_forward="1"
Добавим правило, для маскировки ip в цепочку POSTROUTING таблицы nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Теперь клиенты внутренней сети могут получить возможность доступа в интернет установив в качестве шлюза адрес 192.168.1.1 .
Теперь попробуем нечто более интересное: запретим возможность установки новых соединений с маршрутизатором из интернета, а также форвардинг из сетей отличных от 192.168.1.0/24 .
Установим политики по умолчанию для цепочек в DROP, запретив все соединения кроме тех, которые будут разрешены:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
Разрешим входящие соединения на маршрутизатор с внутренней сети (для управления)
iptables -A INPUT -i eth1 --source 192.168.1.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT
Разрешим маршрутизатору отвечать компьютерам во внутренней сети:
iptables -A OUTPUT -o eth1 --destination 192.168.1.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT
Разрешим перенаправление пакетов из внутренней сети во внешнюю для установки соединений и установленных соединений:
iptables -A FORWARD -i eth1 --source 192.168.1.0/24 --destination 0.0.0.0/0 --match state --state NEW,ESTABLISHED -j ACCEPT
Разрешим перенаправление пакетов из интернета во внутреннюю сеть только для установленных соединений:
iptables -A FORWARD -i eth0 --destination 192.168.1.0/24 --match state --state ESTABLISHED -j ACCEPT

Поясните, плз:
в примере указан пул адресов "192.168.1.0/24". Не могу понять что есть здесь маска "24". А как для моего диапазона адресов (192.168.0.101-192.168.0.112) и если ip прова статичный?
Было б замечательно такой набор сохранить в скрипт и выполнять, желательно самому..

[podkovyrsty]

Спасибо, Yden !
Попробовал для 107-го сделать
На строчке

Код: [Выделить]

tables -t nat POSTROUTING -s 192.168.0.107 -o eth0 -j MASQUERADEконсоль ругнулась: Bad argument `POSTROUTING'
Тем не менее и-нет на 107 заработал:)
Пользователь решил продолжить мысль 21 Апреля 2010, 11:15:30:Нашел пример набора команд для настройки. Хотелось бы у себя нечто подобное организовать:

(Нажмите, чтобы показать/скрыть)

Разрешим пропуск трафика через шлюз (в противном случае трафик не проходит цепочку FORWARDING):
sysctl -w net.ipv4.ip_forward="1"
Добавим правило, для маскировки ip в цепочку POSTROUTING таблицы nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Теперь клиенты внутренней сети могут получить возможность доступа в интернет установив в качестве шлюза адрес 192.168.1.1 .
Теперь попробуем нечто более интересное: запретим возможность установки новых соединений с маршрутизатором из интернета, а также форвардинг из сетей отличных от 192.168.1.0/24 .
Установим политики по умолчанию для цепочек в DROP, запретив все соединения кроме тех, которые будут разрешены:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
Разрешим входящие соединения на маршрутизатор с внутренней сети (для управления)
iptables -A INPUT -i eth1 --source 192.168.1.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT
Разрешим маршрутизатору отвечать компьютерам во внутренней сети:
iptables -A OUTPUT -o eth1 --destination 192.168.1.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT
Разрешим перенаправление пакетов из внутренней сети во внешнюю для установки соединений и установленных соединений:
iptables -A FORWARD -i eth1 --source 192.168.1.0/24 --destination 0.0.0.0/0 --match state --state NEW,ESTABLISHED -j ACCEPT
Разрешим перенаправление пакетов из интернета во внутреннюю сеть только для установленных соединений:
iptables -A FORWARD -i eth0 --destination 192.168.1.0/24 --match state --state ESTABLISHED -j ACCEPT

Поясните, плз:
в примере указан пул адресов "192.168.1.0/24". Не могу понять что есть здесь маска "24". А как для моего диапазона адресов (192.168.0.101-192.168.0.112) и если ip прова статичный?
Было б замечательно такой набор сохранить в скрипт и выполнять, желательно самому..

1) -A POSTROUTING
2) http://ru.wikipedia.org/wiki/Маска_подсети

[Yden]

такая запись 192.168.1.0/24 означает, что
твоя сеть 192.168.1.0 с маской 255.255.255.0 -это просто другое представление , т.е в этой сети 192.168.1.255 это броадкаст адресс
и айпишники которые можно использовать 192.168.1.1-254
число после слеша это колличество единиц в двоичной маске

почитай вот это много вопросов отпадёт
http://ru.wikipedia.org/wiki/%D0%9C%D0%B0%D1%81%D0%BA%D0%B0_%D0%BF%D0%BE%D0%B4%D1%81%D0%B5%D1%82%D0%B8


а по поводу статического айпи прова лучше тогда использовать вместо MASQUERADE ----->    SNAT

[MonoLife]

Большущее спасибо!
Идем дальше..

[RustemNur]

http://www.opennet.ru/docs/RUS/iptables/
Респечатай, читай перед сном, а потом перед компом. Я именно так и сделал в свое время.

[MonoLife]

RustemNur
Непременно.. Уже сохранил эту мантру у себя на диске:), буду изучать... Главное, чтоб сейчас уже мал-мал работало.. А то начальство будет сильно докучать и не давать изучать доки..

[podkovyrsty]

RustemNur
Непременно.. Уже сохранил эту мантру у себя на диске:), буду изучать... Главное, чтоб сейчас уже мал-мал работало.. А то начальство будет сильно докучать и не давать изучать доки..

Я в электричке читал в свое время (:
Пожалуй один из лучших манов в принципе.
Потом распечатал, переплел, и она у меня на полочке - настольная книга.

[dr.Faust]

У меня есть АДСЛ подключение и сеть ad-hoc. И то и то работает нормально (на машине 1 (шлюз) есть сеть, локально машины пингуются.), но вот на ноуте (2) нет тырнета.
Настроена локалка весьма примитивно:
1:
IP: 192.168.0.1
Маска: 255.255.255.0
Шлюз: 0.0.0.0
2:
IP: 192.168.0.2
Маска: 255.255.255.0
Шлюз: 192.168.0.1

DNS пока писать не стал .

Перечитал кучу манов, советов и пошаговых инструкций.
В итоге сделал следующие:
разрешил форвардинг, затем так

Код: [Выделить]

ptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE и так

Код: [Выделить]

iptables -A FORWARD -i wlan0 -j ACCEPT (все инструкции сваодятся вобщем-то к этому).

# ifconfig

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

eth0      Link encap:Ethernet  HWaddr 00:18:f3:fb:34:42 
          inet6 addr: fe80::218:f3ff:fefb:3442/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1043346 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1208303 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:709323213 (709.3 MB)  TX bytes:1065173145 (1.0 GB)
          Interrupt:25 Base address:0xc000

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1953 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1953 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:161570 (161.5 KB)  TX bytes:161570 (161.5 KB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol) 
          inet addr:77.66.146.126  P-t-P:80.80.111.84  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:72293 errors:0 dropped:0 overruns:0 frame:0
          TX packets:109509 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:8311212 (8.3 MB)  TX bytes:129539680 (129.5 MB)

wlan0     Link encap:Ethernet  HWaddr 00:1e:58:ad:c1:08 
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::21e:58ff:fead:c108/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:189 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4015 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:17332 (17.3 KB)  TX bytes:751114 (751.1 KB)

# route

(Нажмите, чтобы показать/скрыть)

Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
c04-ats66.aaane *               255.255.255.255 UH    0      0        0 ppp0
192.168.0.0     *               255.255.255.0   U     2      0        0 wlan0
link-local      *               255.255.0.0     U     1000   0        0 ppp0
default         c04-ats66.aaane 0.0.0.0         UG    0      0        0 ppp0

Куда копать дальше?

[Mam(O)n]

DNS пока писать не стал .

Почему? Пиши либо провайдерские, либо свой сервер ставь. Могу посоветовать простой dns-прокси dnsmasq.

Куда копать дальше?

Собственно в этом рассказе не хватает таблицы прописанных правил файрвола (sudo iptables-save), собственно описания проблемы и того, как проверяется работоспособность данной связки.

[dr.Faust]

DNS пока писать не стал .

Почему? Пиши либо провайдерские, либо свой сервер ставь. Могу посоветовать простой dns-прокси dnsmasq.

Это потом. Неважно  напишу - их есть у меня.

DNS вроде бы не должны влиять - я же по IP проверяю наличие инета...
В /etc/resolv.conf всё прописано:

Код: [Выделить]

# Generated by NetworkManager
nameserver 80.80.111.250
nameserver 80.80.111.244
iptables-save:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Wed May  5 02:46:53 2010
*filter
:INPUT ACCEPT [36:3000]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [6:276]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m state --state RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m state --state INVALID -j ufw-logging-deny
-A ufw-before-input -m state --state INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -s 224.0.0.0/4 -j ACCEPT
-A ufw-before-input -d 224.0.0.0/4 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m state --state RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m state --state INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j ACCEPT
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-input -p tcp -m state --state NEW -j ACCEPT
-A ufw-track-input -p udp -m state --state NEW -j ACCEPT
-A ufw-track-output -p tcp -m state --state NEW -j ACCEPT
-A ufw-track-output -p udp -m state --state NEW -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
# Completed on Wed May  5 02:46:53 2010

А это iptables-save после

Код: [Выделить]

ptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -A FORWARD -i wlan0 -j ACCEPT

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Wed May  5 02:49:20 2010
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [25:1500]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Wed May  5 02:49:20 2010
# Generated by iptables-save v1.4.4 on Wed May  5 02:49:20 2010
*filter
:INPUT ACCEPT [36:3000]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [11:512]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -i wlan0 -j ACCEPT
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m state --state RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m state --state INVALID -j ufw-logging-deny
-A ufw-before-input -m state --state INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -s 224.0.0.0/4 -j ACCEPT
-A ufw-before-input -d 224.0.0.0/4 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m state --state RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m state --state INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j ACCEPT
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-input -p tcp -m state --state NEW -j ACCEPT
-A ufw-track-input -p udp -m state --state NEW -j ACCEPT
-A ufw-track-output -p tcp -m state --state NEW -j ACCEPT
-A ufw-track-output -p udp -m state --state NEW -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
# Completed on Wed May  5 02:49:20 2010

[Mam(O)n]

В таблице файрвола срач от ufw. Отключи его.

[dr.Faust]

Я сначало пробовал без него.
Потом поставил - пробовал с ним.
Потом с выключенным, и опять с включённым.

Отключить будет достаточно? Или надо удалить?
Когда он не работает (отключен) выключен только он сам, или фильтрация полностью (не работает iptable)?

[djrust]

Удали...
потом почисти

Код: [Выделить]

# Удаление всех правил во всех таблицах.
#
iptables -F
iptables -t nat -F
iptables -t mangle -F
#
# Удаление пользовательских правил во всех таблицах.
#
iptables -X
iptables -t nat -X
iptables -t mangle -X
пиши правила вручную
а запускать можешь через скрипт.хав то почитай там есть