И, кстати, проверять проброску нужно снаружи  - изнутри требует отдельной сборки ядра

>И, кстати, проверять проброску нужно снаружи  - изнутри требует отдельной сборки
>ядра

да я с наружи проверяю через терминал с другого сервера
только вот не работает почемуто
может всетаки выложить полный конфиг свой ??
может там какиенить ошибки есть которые я не замечаю ??

>
>да я с наружи проверяю через терминал с другого сервера
>только вот не работает почемуто
>может всетаки выложить полный конфиг свой ??
>может там какиенить ошибки есть которые я не замечаю ??
Ну, давай... попробуем.

>Ну, давай... попробуем.
вот
#!/bin/sh
#
INET_IP="213.33.176.53"
INET_IFACE="eth1"
INET_BROADCAST="213.33.176.63"
#
LAN_IP="192.168.2.250"
LAN_IP_RANGE="192.168.2.0/24"
LAN_BROADCAST_ADDRESS="192.168.2.255"
LAN_IFACE="eth0"
#
LO_IFACE="lo"
LO_IP="127.0.0.1"
#
IPTABLES="/sbin/iptables"
#
/sbin/depmod -a
#
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
#
echo "1" > /proc/sys/net/ipv4/ip_forward
#
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
#
$IPTABLES -N bad_tcp_packets
#
$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets
#
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
#
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP
#
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed
#
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 2074 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4000 -j ACCEPT
#
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
#
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
#
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BROADCAST_ADDRESS -j ACCEPT
#
$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT
#
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
-j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
#
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT INPUT packet died: "
#
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
#
$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#
$IPTABLES -A FORWARD --protocol tcp --destination 192.168.2.1 --destination-port 25 -j ACCEPT
$IPTABLES -A FORWARD --protocol tcp --destination $INET_IP --destination-port 25 -j ACCEPT
#
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT FORWARD packet died: "
#
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
#
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
#
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT OUTPUT packet died: "
$IPTABLES  -A PREROUTING -t nat --protocol tcp --destination $INET_IP --destination-port 25 \
-j DNAT --to-destination 192.168.2.1
#
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
#

я коментарии убрал чтоб поменьше было

>>Ну, давай... попробуем.
>вот
>#!/bin/sh
>#
>INET_IP="213.33.176.53"
>INET_IFACE="eth1"
>INET_BROADCAST="213.33.176.63"
>#
>LAN_IP="192.168.2.250"
>LAN_IP_RANGE="192.168.2.0/24"
>LAN_BROADCAST_ADDRESS="192.168.2.255"
>LAN_IFACE="eth0"
>#
>LO_IFACE="lo"
>LO_IP="127.0.0.1"
>#
>IPTABLES="/sbin/iptables"
>#
>/sbin/depmod -a
>#
>/sbin/modprobe ip_tables
>/sbin/modprobe ip_conntrack
>/sbin/modprobe iptable_filter
>/sbin/modprobe iptable_mangle
>/sbin/modprobe iptable_nat
>/sbin/modprobe ipt_LOG
>/sbin/modprobe ipt_limit
>/sbin/modprobe ipt_state
>#
>echo "1" > /proc/sys/net/ipv4/ip_forward
>#
>$IPTABLES -P INPUT DROP
>$IPTABLES -P OUTPUT DROP
>$IPTABLES -P FORWARD DROP
>#
>$IPTABLES -N bad_tcp_packets
>#
>$IPTABLES -N allowed
>$IPTABLES -N tcp_packets
>$IPTABLES -N udp_packets
>$IPTABLES -N icmp_packets
>#
>$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j
>LOG \
>--log-prefix "New not syn:"
>$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j
>DROP
>#
>$IPTABLES -A allowed -p TCP --syn -j ACCEPT
>$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
>$IPTABLES -A allowed -p TCP -j DROP
>#
>$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
>$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
>$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
>$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed
>#
>$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 2074 -j ACCEPT
>$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4000 -j ACCEPT
>#
>$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
>$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
>#
>$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
>#
>$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
>$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
>$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
>$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
>$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BROADCAST_ADDRESS -j ACCEPT
>#
>$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j
>ACCEPT
>#
>$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
>
>-j ACCEPT
>$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
>$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
>$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
>#
>$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
>
>--log-level DEBUG --log-prefix "IPT INPUT packet died: "
>#
>$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
>#
>$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
>$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>#
>$IPTABLES -A FORWARD --protocol tcp --destination 192.168.2.1 --destination-port 25 -j ACCEPT
>$IPTABLES -A FORWARD --protocol tcp --destination $INET_IP --destination-port 25 -j ACCEPT
>#
>$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
>
>--log-level DEBUG --log-prefix "IPT FORWARD packet died: "
>#
>$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
>#
>$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
>$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
>$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
>#
>$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
>
>--log-level DEBUG --log-prefix "IPT OUTPUT packet died: "
>$IPTABLES  -A PREROUTING -t nat --protocol tcp --destination $INET_IP --destination-port 25
>\
>-j DNAT --to-destination 192.168.2.1
>#
>$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
>#
>
>
>я коментарии убрал чтоб поменьше было

1. У тебя пакеты в обе стороны не пропускаются!

IPTABLES -A FORWARD --protocol tcp --destination 192.168.2.1 --destination-port 25 -j ACCEPT
Это внутрь.
А как у тебя выпускается трафик я не вижу.
Надо добавить
IPTABLES -A FORWARD --protocol tcp -s 192.168.2.1 --sport 25 -j ACCEPT

>1. У тебя пакеты в обе стороны не пропускаются!
>
>IPTABLES -A FORWARD --protocol tcp --destination 192.168.2.1 --destination-port 25 -j ACCEPT
>Это внутрь.
>А как у тебя выпускается трафик я не вижу.
>Надо добавить
>IPTABLES -A FORWARD --protocol tcp -s 192.168.2.1 --sport 25 -j ACCEPT

Добавил непомогло !
:о(

Мдя... Андерссона читать, конечно, нужно - но его скрипты копировать не стоит.
Ты дописываешь это в конце - у тебя, похоже, эти пакеты дропаются впередистоящими правилами - пакет уходит в цепочку и не доходит до правила.
Включи логирование пакетов и смотри

>Мдя... Андерссона читать, конечно, нужно - но его скрипты копировать не стоит.
>
>Ты дописываешь это в конце - у тебя, похоже, эти пакеты дропаются
>впередистоящими правилами - пакет уходит в цепочку и не доходит до
>правила.
>Включи логирование пакетов и смотри

я конечно дико извиняюсь и прошу меня ногами не пинать
просто я выше писал уже что я в IPTables не силен и если честно и в линухе тоже не гуру, тобиш знаю только то что знаю а шаг в право шаг в лево для меня равносилен шагу в пропость :о(
но я быстро учусь :о)

>
>я конечно дико извиняюсь и прошу меня ногами не пинать
>просто я выше писал уже что я в IPTables не силен и
>если честно и в линухе тоже не гуру, тобиш знаю только
>то что знаю а шаг в право шаг в лево для
>меня равносилен шагу в пропость :о(
>но я быстро учусь :о)

Разговор затягивается... ломись ко мне в асю 35-185-841, ибо из этого скрипта уже все понятно - нечего народу глаза мозолить

>>Мдя... Андерссона читать, конечно, нужно - но его скрипты копировать не стоит.
>>
>>Ты дописываешь это в конце - у тебя, похоже, эти пакеты дропаются
>>впередистоящими правилами - пакет уходит в цепочку и не доходит до
>>правила.
>>Включи логирование пакетов и смотри
>
>я конечно дико извиняюсь и прошу меня ногами не пинать
>просто я выше писал уже что я в IPTables не силен и
>если честно и в линухе тоже не гуру, тобиш знаю только
>то что знаю а шаг в право шаг в лево для
>меня равносилен шагу в пропость :о(
>но я быстро учусь :о)

у меня это работает :
192.168.168.100.20 смотрит в инет
10.0.0.2 почтовик в веб доступом

[0:0] -A PREROUTING -d 192.168.100.20 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.0.2
[0:0] -A PREROUTING -d 192.168.100.20 -p tcp -m tcp --dport 110 -j DNAT --to-destination 10.0.0.2
[13:660] -A PREROUTING -d 192.168.100.20 -p tcp -m tcp --dport 25 -j DNAT --to-destination 10.0.0.2
[742:42012] -A POSTROUTING -o eth0 -p tcp -j SNAT --to-source 192.168.100.20
[0:0] -A POSTROUTING -o eth0 -p icmp -j SNAT --to-source 192.168.100.20