[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

IPTables any more...

Здравствуйте всем!

Есть проблемка, бьюсь уже дня три.... Доки уже перерыл, но все никак...
Есть подсеть 192.168.1.0/24
Есть подсеть 172.16.0.0/16
Шлюз , eth0 - 192.168.1.1, eth1 172.16.6.1
Нужно организовать форвард 192.168.1.0/24 во внешний мир, через шлюз 172.16.6.254,
организовать доступ 192.168.1.0 <-> 172.16.6.13,
192.168.1.2 <-> 172.16.6.14, 
при этом, из 192.168.1.0/24 остальных машин, кроме вышеуказанных, из 172.16.0.0/16
не должно быть видно.... И еще , хотелось бы считать траффик.... Для этого строятся счетные 
цепочки..... Все вроде бы красиво, но пакеты режутся и не проходят по правилам. В частности, 
 172.16.6.13 <-> 192.168.1.8 не работает... Включал -j LOG, получается , что пакет был отброшен....
Дамп iptables в аттаче.... Из дампа видно, что все пакеты были отброшены, хотя по идее должны 
были пройти. Пакеты были 172.16.6.13 <-> 192.168.1.8
Подскажи плиз, люди многоопытные.... Уже все доки перерыл...
Чего я не допонял?
-- 
UIN: 119944395 HP: http://mkaudio.sf.net/, http://fssg.st-oskol.ru/
Andrey Andruschenko, SOLUG/SOFSSG , инженер-программист, Старооскольский ГорПТУС

# Generated by iptables-save v1.2.6a on Thu Apr 17 14:41:26 2003
*filter
:INPUT ACCEPT [651:55138]
:FORWARD DROP [9:1642]
:OUTPUT ACCEPT [672:127670]
:in_filter_chain - [0:0]
:in_ftp - [0:0]
:in_mail - [0:0]
:in_tcp_dns - [0:0]
:in_udp_dns - [0:0]
:in_web - [0:0]
:out_ftp - [0:0]
:out_mail - [0:0]
:out_tcp_dns - [0:0]
:out_udp_dns - [0:0]
:out_web - [0:0]
[15:2531] -A FORWARD -j in_filter_chain 
[0:0] -A FORWARD -p tcp -m multiport --dports www,81,82,83,3128,webcache,tproxy,8082,8083 -j out_web 
[0:0] -A FORWARD -p tcp -m multiport --dports ftp-data,ftp -j out_ftp 
[0:0] -A FORWARD -p tcp -m multiport --dports smtp,pop3,imap2 -j out_mail 
[0:0] -A FORWARD -p tcp -m tcp --dport 53 -j out_tcp_dns 
[0:0] -A FORWARD -p udp -m udp --dport 53 -j out_udp_dns 
[0:0] -A FORWARD -p tcp -m multiport --sports www,81,82,83,webcache,tproxy,8082,8083 -j in_web 
[0:0] -A FORWARD -p tcp -m multiport --sports ftp-data,ftp -j in_ftp 
[0:0] -A FORWARD -p tcp -m multiport --sports smtp,pop3,imap2 -j in_mail 
[0:0] -A FORWARD -p tcp -m tcp --sport 53 -j in_tcp_dns 
[0:0] -A FORWARD -p udp -m udp --sport 53 -j in_udp_dns 
[0:0] -A FORWARD -j REJECT --reject-with icmp-port-unreachable 
[0:0] -A in_filter_chain -s 172.0.0.0/255.0.0.0 -d 172.0.0.0/255.0.0.0 -j ACCEPT 
[0:0] -A in_filter_chain -s 172.16.6.14 -d 192.168.1.2 -j ACCEPT 
[0:0] -A in_filter_chain -s 172.16.6.13 -d 192.168.1.0/255.255.255.0 -j ACCEPT 
[0:0] -A in_filter_chain -s 192.168.1.2 -d 172.16.6.14 -j ACCEPT 
[0:0] -A in_filter_chain -s 192.168.1.0/255.255.255.0 -d 172.16.6.13 -j ACCEPT 
[0:0] -A in_filter_chain -s 192.168.1.0/255.255.255.0 -d 172.16.6.254 -j RETURN 
[0:0] -A in_filter_chain -s 172.16.6.254 -d 192.168.1.0/255.255.255.0 -j RETURN 
[15:2531] -A in_filter_chain -j REJECT --reject-with icmp-port-unreachable 
[0:0] -A in_ftp -s 192.168.1.1 -j ACCEPT 
[0:0] -A in_ftp -s 192.168.1.2 -j ACCEPT 
[0:0] -A in_ftp -s 192.168.1.3 -j ACCEPT 
[0:0] -A in_ftp -s 192.168.1.4 -j ACCEPT 
[0:0] -A in_ftp -s 192.168.1.5 -j ACCEPT 
[0:0] -A in_ftp -s 192.168.1.6 -j ACCEPT 
[0:0] -A in_ftp -s 192.168.1.7 -j ACCEPT 
[0:0] -A in_ftp -s 192.168.1.8 -j ACCEPT 
[0:0] -A in_ftp -j REJECT --reject-with icmp-port-unreachable 
[0:0] -A in_mail -d 192.168.1.1 -j ACCEPT 
[0:0] -A in_mail -d 192.168.1.2 -j ACCEPT 
[0:0] -A in_mail -d 192.168.1.3 -j ACCEPT 
[0:0] -A in_mail -d 192.168.1.4 -j ACCEPT 
[0:0] -A in_mail -d 192.168.1.5 -j ACCEPT 
[0:0] -A in_mail -d 192.168.1.6 -j ACCEPT 
[0:0] -A in_mail -d 192.168.1.7 -j ACCEPT 
[0:0] -A in_mail -d 192.168.1.8 -j ACCEPT 
[0:0] -A in_mail -j REJECT --reject-with icmp-port-unreachable 
[0:0] -A in_tcp_dns -d 192.168.1.1 -j ACCEPT 
[0:0] -A in_tcp_dns -d 192.168.1.2 -j ACCEPT 
[0:0] -A in_tcp_dns -d 192.168.1.3 -j ACCEPT 
[0:0] -A in_tcp_dns -d 192.168.1.4 -j ACCEPT 
[0:0] -A in_tcp_dns -d 192.168.1.5 -j ACCEPT 
[0:0] -A in_tcp_dns -d 192.168.1.6 -j ACCEPT 
[0:0] -A in_tcp_dns -d 192.168.1.7 -j ACCEPT 
[0:0] -A in_tcp_dns -d 192.168.1.8 -j ACCEPT 
[0:0] -A in_tcp_dns -j REJECT --reject-with icmp-port-unreachable 
[0:0] -A in_udp_dns -d 192.168.1.1 -j ACCEPT 
[0:0] -A in_udp_dns -d 192.168.1.2 -j ACCEPT 
[0:0] -A in_udp_dns -d 192.168.1.3 -j ACCEPT 
[0:0] -A in_udp_dns -d 192.168.1.4 -j ACCEPT 
[0:0] -A in_udp_dns -d 192.168.1.5 -j ACCEPT 
[0:0] -A in_udp_dns -d 192.168.1.6 -j ACCEPT 
[0:0] -A in_udp_dns -d 192.168.1.7 -j ACCEPT 
[0:0] -A in_udp_dns -d 192.168.1.8 -j ACCEPT 
[0:0] -A in_udp_dns -j REJECT --reject-with icmp-port-unreachable 
[0:0] -A in_web -d 192.168.1.1 -j ACCEPT 
[0:0] -A in_web -d 192.168.1.2 -j ACCEPT 
[0:0] -A in_web -d 192.168.1.3 -j ACCEPT 
[0:0] -A in_web -d 192.168.1.4 -j ACCEPT 
[0:0] -A in_web -d 192.168.1.5 -j ACCEPT 
[0:0] -A in_web -d 192.168.1.6 -j ACCEPT 
[0:0] -A in_web -d 192.168.1.7 -j ACCEPT 
[0:0] -A in_web -d 192.168.1.8 -j ACCEPT 
[0:0] -A in_web -j REJECT --reject-with icmp-port-unreachable 
[0:0] -A out_ftp -s 192.168.1.1 -j ACCEPT 
[0:0] -A out_ftp -s 192.168.1.2 -j ACCEPT 
[0:0] -A out_ftp -s 192.168.1.3 -j ACCEPT 
[0:0] -A out_ftp -s 192.168.1.4 -j ACCEPT 
[0:0] -A out_ftp -s 192.168.1.5 -j ACCEPT 
[0:0] -A out_ftp -s 192.168.1.6 -j ACCEPT 
[0:0] -A out_ftp -s 192.168.1.7 -j ACCEPT 
[0:0] -A out_ftp -s 192.168.1.8 -j ACCEPT 
[0:0] -A out_ftp -j REJECT --reject-with icmp-port-unreachable 
[0:0] -A out_mail -s 192.168.1.1 -j ACCEPT 
[0:0] -A out_mail -s 192.168.1.2 -j ACCEPT 
[0:0] -A out_mail -s 192.168.1.3 -j ACCEPT 
[0:0] -A out_mail -s 192.168.1.4 -j ACCEPT 
[0:0] -A out_mail -s 192.168.1.5 -j ACCEPT 
[0:0] -A out_mail -s 192.168.1.6 -j ACCEPT 
[0:0] -A out_mail -s 192.168.1.7 -j ACCEPT 
[0:0] -A out_mail -s 192.168.1.8 -j ACCEPT 
[0:0] -A out_mail -j REJECT --reject-with icmp-port-unreachable 
[0:0] -A out_tcp_dns -s 192.168.1.1 -j ACCEPT 
[0:0] -A out_tcp_dns -s 192.168.1.2 -j ACCEPT 
[0:0] -A out_tcp_dns -s 192.168.1.3 -j ACCEPT 
[0:0] -A out_tcp_dns -s 192.168.1.4 -j ACCEPT 
[0:0] -A out_tcp_dns -s 192.168.1.5 -j ACCEPT 
[0:0] -A out_tcp_dns -s 192.168.1.6 -j ACCEPT 
[0:0] -A out_tcp_dns -s 192.168.1.7 -j ACCEPT 
[0:0] -A out_tcp_dns -s 192.168.1.8 -j ACCEPT 
[0:0] -A out_tcp_dns -j REJECT --reject-with icmp-port-unreachable 
[0:0] -A out_udp_dns -s 192.168.1.1 -j ACCEPT 
[0:0] -A out_udp_dns -s 192.168.1.2 -j ACCEPT 
[0:0] -A out_udp_dns -s 192.168.1.3 -j ACCEPT 
[0:0] -A out_udp_dns -s 192.168.1.4 -j ACCEPT 
[0:0] -A out_udp_dns -s 192.168.1.5 -j ACCEPT 
[0:0] -A out_udp_dns -s 192.168.1.6 -j ACCEPT 
[0:0] -A out_udp_dns -s 192.168.1.7 -j ACCEPT 
[0:0] -A out_udp_dns -s 192.168.1.8 -j ACCEPT 
[0:0] -A out_udp_dns -j REJECT --reject-with icmp-port-unreachable 
[0:0] -A out_web -s 192.168.1.1 -j ACCEPT 
[0:0] -A out_web -s 192.168.1.2 -j ACCEPT 
[0:0] -A out_web -s 192.168.1.3 -j ACCEPT 
[0:0] -A out_web -s 192.168.1.4 -j ACCEPT 
[0:0] -A out_web -s 192.168.1.5 -j ACCEPT 
[0:0] -A out_web -s 192.168.1.6 -j ACCEPT 
[0:0] -A out_web -s 192.168.1.7 -j ACCEPT 
[0:0] -A out_web -s 192.168.1.8 -j ACCEPT 
[0:0] -A out_web -j REJECT --reject-with icmp-port-unreachable 
COMMIT
# Completed on Thu Apr 17 14:41:26 2003
# Generated by iptables-save v1.2.6a on Thu Apr 17 14:41:26 2003
*nat
:PREROUTING ACCEPT [68:5142]
:POSTROUTING ACCEPT [407:32974]
:OUTPUT ACCEPT [368:30802]
COMMIT
# Completed on Thu Apr 17 14:41:26 2003
# Generated by iptables-save v1.2.6a on Thu Apr 17 14:41:26 2003
*mangle
:PREROUTING ACCEPT [870:102205]
:INPUT ACCEPT [651:55138]
:FORWARD ACCEPT [219:47067]
:OUTPUT ACCEPT [672:127670]
:POSTROUTING ACCEPT [868:170642]
COMMIT
# Completed on Thu Apr 17 14:41:26 2003
Reply to: