https://www.opennet.ru/openforum/vsluhforumID1/77829.html Есть сеть 10.10.5.х<br>Сервер 10.10.5.10 он работает чё то на типе маршрутизатора<br>Два интерфейса eth0 = 10.10.5.10 eth1 = 192.168.1.110 смотрит на АДСЛ<br>echo 1&gt; /proc/sys/net/ipv4/ip_forward<br>iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE<br>всё бегает и работает но задача состоит в том что бы пробросить аську которая у нашего провайдера бесплатная то есть идея состоит в что бы добавить у пользователей маршут <br>route add login.icq.com mask 255.255.255.255 10.10.5.10<br>на локальном днс прописать что login.icq.com это на самом деле адрес аськт нашего провайдера <br>но как сделать так что бы клиент не заподозрил подмены то есть комп загрузил инет не подключен он у нас через ВПН<br>и как закрыть eth1 от выхода через него на другие айпи и порты<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/77829.html#3 Wed, 12 Dec 2007 11:19:03 GMT &gt;iptables -P POSTROUTING ACCEPT <br>&gt;на эту команду ругается iptables: Bad built-in chain name <br><br>пардон, прогнался:<br>iptables -t nat -P POSTROUTING ACCEPT<br><br>&gt;без неё всё окей применяется только не пускает при чём если сбросить <br>&gt;правила iptables -F то начинает пропускать <br>&gt;пробовал убрать порты назначения не помогло <br><br>Что выдаёт iptables -t nat -L?<br>Перед дропом в таблице форвард вставь лог, посмотри совпадают ли указанные ип/порты/интерфейсы.<br>iptables -I FORWARD 3 -j LOG --log-prefix "FWD: " # в твоём случае<br><br>А проще - напиши в асю - 26420654.<br> https://www.opennet.ru/openforum/vsluhforumID1/77829.html#2 Wed, 12 Dec 2007 07:53:47 GMT iptables -P POSTROUTING ACCEPT<br>на эту команду ругается iptables: Bad built-in chain name<br><br>без неё всё окей применяется только не пускает при чём если сбросить правила iptables -F то начинает пропускать<br>пробовал убрать порты назначения не помогло<br><br>[root@wln-fileserver /]# iptables -nL<br>Chain INPUT (policy ACCEPT)<br>target prot opt source destination<br><br>Chain FORWARD (policy ACCEPT)<br>target prot opt source destination<br>ACCEPT tcp -- 10.10.5.0/24 217.70.119.181 tcp dpt:5190<br>ACCEPT tcp -- 217.70.119.181 10.10.5.0/25 tcp spt:5190<br>DROP all -- 0.0.0.0/0 0.0.0.0/0<br><br>Chain OUTPUT (policy ACCEPT)<br>target prot opt source destination<br><br>вот как сча всё выглядит<br><br>#iptables -P POSTROUTING ACCEPT<br>iptables -F FORWARD<br>iptables -P FORWARD ACCEPT<br>iptables -A FORWARD -i eth0 -o eth1 -s 10.10.5.0/24 -d 217.70.119.181 -p tcp --dport 5190 -j ACCEPT<br>iptables -A FORWARD -i eth1 -o eth0 -s 217.70.119.181 -d 10.1 https://www.opennet.ru/openforum/vsluhforumID1/77829.html#1 Tue, 11 Dec 2007 13:19:00 GMT Если всё правильно понял из вышеописанного:<br># установка разрешающей политики на пост-маршрутизацию<br>iptables -P POSTROUTING ACCEPT<br># очистка таблицы FORWARD<br>iptables -F FORWARD<br># выставление политики разрешающей форвардить<br>iptables -P FORWARD ACCEPT<br># разрешение форвардить пакеты с eth0 на eth1 от 10.10.5.0/24 на provider_icq_ip на порт 5190<br>iptables -A FORWARD -i eth0 -o eth1 -s 10.10.5.0/24 -d provider_icq_ip --dport 5190 -j ACCEPT<br># разрешение на хождение пакетов в обратном направлении<br>iptables -A FORWARD -i eth1 -o eth0 -s provider_icq_ip -d 10.10.5.0/25 --sport 5190 -j ACCEPT<br># вместо provider_icq_ip - указать ip icq-сервера провайдера<br># запрет на форвардинг всего остального<br>iptables -A FORWARD -j DROP<br><br>&gt;route add login.icq.com mask 255.255.255.255 10.10.5.10 <br><br>При написании этой строки у клиента - на dns-сервере, который используется клиентом запись для login.icq.com уже должна быть подменена, т.к. route не добавляет dns-имена, а конвертирует их в ip в момент добавления.<br>