https://opennet.ru/openforum/vsluhforumID1/83901.html Здравствуйте!<br>Все очень просто:<br>Имеем роутер под федорой и набором правил iptables - все работает<br>Решил испытать новые правила, для чего присвоил тестовой машине из локалки адрес "A.D.D.R" и в консоли набираю:<br># iptables -A FORWARD -s A.D.D.R -o $EXT_IF - j ACCEPT //отправляем пакеты наружу<br># iptables -A FORWARD -d A.D.D.R -i $EXT_IF -m state --state ESTABLISHED,RELATED -j ACCEPT //Принимаем пакеты снаружи<br># iptables -t nat -A POSTROUTING -s A.D.D.R -o $EXT_IF -j SNAT --to $EXT_IP<br># ping $EXT_IP //ходит нормально, даже ходит на противоположный адрес за роутером а интернета нет <br> https://opennet.ru/openforum/vsluhforumID1/83901.html#8 Wed, 25 Feb 2009 06:05:58 GMT &gt;[оверквотинг удален]<br>&gt;заново, потому, что втавлять свои куски в работающую систему, к тому <br>&gt;же еще и написанную не тобой - это очень плохо. <br>&gt; Спасибо что уделили время. <br>&gt;Тут а нашел очень интересную конструкцию, как создать для каждого пользователя отдельный <br>&gt;канал: <br>&gt;iptables -t mangle -A POSTROUTING -o eth0 -j IPMARK --adr=dst --and-mask 0xffff <br>&gt;--or-mask 0x10000 <br>&gt;tc add filter dev eth0 parent 1:0 protocol ip fw <br>&gt;только у меня она не работает: <br>&gt;unknown arg --addr <br><br>свою цепочку, jump на нее из любого нах места, и вставляй правила в нее и чисть и перезаполняй ее как тебе угодно. и никак это не отразится на том, что ты трогать не хочешь.<br><br><br><br> https://opennet.ru/openforum/vsluhforumID1/83901.html#7 Fri, 06 Feb 2009 14:21:48 GMT &gt;You right - the problem was just in that: I try write <br>&gt;own rules over existing and this was bad idea. <br>&gt;I clear all rules and write own from beginning <br>&gt;Yes, LOG - very usefull target <br><br>Welcome...<br> https://opennet.ru/openforum/vsluhforumID1/83901.html#6 Fri, 06 Feb 2009 13:14:27 GMT You right - the problem was just in that: I try write own rules over existing and this was bad idea.<br>I clear all rules and write own from beginning<br>Yes, LOG - very usefull target<br> https://opennet.ru/openforum/vsluhforumID1/83901.html#5 Fri, 06 Feb 2009 07:14:27 GMT &gt;[оверквотинг удален]<br>&gt;"A.D.D.R" и в консоли набираю: <br>&gt;# iptables -A FORWARD -s A.D.D.R -o $EXT_IF - j ACCEPT <br>&gt; <br>&gt; //отправляем пакеты наружу <br>&gt;# iptables -A FORWARD -d A.D.D.R -i $EXT_IF -m state --state ESTABLISHED,RELATED <br>&gt;-j ACCEPT //Принимаем пакеты снаружи <br>&gt;# iptables -t nat -A POSTROUTING -s A.D.D.R -o $EXT_IF -j SNAT <br>&gt;--to $EXT_IP <br>&gt;# ping $EXT_IP //ходит нормально, даже ходит на противоположный <br>&gt;адрес за роутером а интернета нет <br><br>мой вам совет:<br>чтоб не создавать подобные темы и не иметь больше проблем с пакетным фильтром - юзайте -j LOG сразу перед -j DROP<br><br>вот вам маленький пример:<br><br>logops="--log-level=3 -m limit --limit 1/second --limit-burst 10"<br><br>$ipt -A FORWARD -i $INET_IF -j LOG --log-prefix "IPT: IN_LOCAL_NETWORK: " $logops<br>$ipt -A FORWARD -i $INET_IF -j DROP<br>$ipt -A FORWARD -i $LOCAL_IF -j LOG --log-prefix "IPT: FORWARD -i $LOCAL_IF: " $logops<br>$ipt -A FORWARD -i $LOCAL_IF -j DROP<br>$ipt -A FORWARD -j LOG --log-prefix "IPT: FORWARD: " $logops<br> https://opennet.ru/openforum/vsluhforumID1/83901.html#4 Mon, 02 Feb 2009 06:43:45 GMT Вы снова правы, только все это неуместно, т к приходтся писать правила заново, потому, что втавлять свои куски в работающую систему, к тому же еще и написанную не тобой - это очень плохо.<br> Спасибо что уделили время.<br>Тут а нашел очень интересную конструкцию, как создать для каждого пользователя отдельный канал:<br>iptables -t mangle -A POSTROUTING -o eth0 -j IPMARK --adr=dst --and-mask 0xffff --or-mask 0x10000<br>tc add filter dev eth0 parent 1:0 protocol ip fw<br>только у меня она не работает:<br>unknown arg --addr<br> https://opennet.ru/openforum/vsluhforumID1/83901.html#3 Sun, 01 Feb 2009 16:02:23 GMT &gt;боюсь что правила маршрутизации будут неуместны тут, т. к. они принимают пакеты <br>&gt;из внутренней сети, маркируют их, и затем направляют в три разных <br>&gt;канала. <br>&gt;Думаю, Вы догадываетесь, что они нечитабельны тут. <br>&gt;Вы также справедливо заметили, что порядок правил имеет ключевую роль в фильтрации <br>&gt;пакетов. <br>&gt;Прошу Вас подсказать мне как указать iptables вставить мои правила перед всеми <br>&gt;остальными, а то, получается, команда -A FORWARD добавляет мои правила в <br>&gt;конец цепочки после команды -j DROP <br><br>iptables -I FORWARD &lt;position_number&gt; .... <br>iptables -nvL FORWARD --line<br> https://opennet.ru/openforum/vsluhforumID1/83901.html#2 Sun, 01 Feb 2009 13:40:35 GMT боюсь что правила маршрутизации будут неуместны тут, т. к. они принимают пакеты из внутренней сети, маркируют их, и затем направляют в три разных канала.<br>Думаю, Вы догадываетесь, что они нечитабельны тут.<br>Вы также справедливо заметили, что порядок правил имеет ключевую роль в фильтрации пакетов.<br>Прошу Вас подсказать мне как указать iptables вставить мои правила перед всеми остальными, а то, получается, команда -A FORWARD добавляет мои правила в конец цепочки после команды -j DROP <br> https://opennet.ru/openforum/vsluhforumID1/83901.html#1 Sun, 01 Feb 2009 12:19:18 GMT &gt;[оверквотинг удален]<br>&gt;"A.D.D.R" и в консоли набираю: <br>&gt;# iptables -A FORWARD -s A.D.D.R -o $EXT_IF - j ACCEPT <br>&gt; <br>&gt; //отправляем пакеты наружу <br>&gt;# iptables -A FORWARD -d A.D.D.R -i $EXT_IF -m state --state ESTABLISHED,RELATED <br>&gt;-j ACCEPT //Принимаем пакеты снаружи <br>&gt;# iptables -t nat -A POSTROUTING -s A.D.D.R -o $EXT_IF -j SNAT <br>&gt;--to $EXT_IP <br>&gt;# ping $EXT_IP //ходит нормально, даже ходит на противоположный <br>&gt;адрес за роутером а интернета нет <br><br>Благодарю за полное описание картины проблемы, топологии сети, всех правил маршрутизации и всех правил iptables.<br><br><br>Только пожалуйста поясните, какого @%&#^ вы считаете, что позиция правила в списке правил iptables _никак_ не важна ?<br><br>man iptables. Почитайте как этот пакетный фильтр работает.<br>