[Comm] Прошу помочь с настройкой файерволла

[Igor Tertishny]

Здравствуйте все! Я столкнулся с проблемой. У меня небольшая сеть, раздающая 
клиентам интернет и иные сервисы. Многие качают файлы с помощью edonkey. Но 
стоящим за сервером (за файерволлом) клиентам сервера edonkey выдают только 
самый низший приоритет (lowid). Маскарадинг включен и почему так происходит 
понять не могу. Знаю, что нужно открыть порты по списку. Открывал в 
файерволле вообще все, не помогает. Клиенты дергают - сделай, другие же 
делают. А я просто не знаю как, увы мне. Файерволл уже поставил простейший, 
но снова ничего не дало. Он ниже. Прошу подсказать как открыть порт 4661, 
например, чтобы сервер edonkey и не догадывался, что ним коннектит не мой 
сервер, а стоящий за ним клиент. Ведь если я ставлю осла на моем сервере, то 
все работает как положено. Но не держать же его на сервере? нонсенс ведь.

Ниже мой файерволл. Понимаю, что полный примитив, но даже с ним проблемы. 
Заранее благодарен за помощь.

# Включаем маршрутизацию пакетов.
echo 1 > /proc/sys/net/ipv4/ip_forward

# Interface to Internet

EXTIF=ppp+

ANY=0.0.0.0/0

#iptables -F
#Очистка таблицы преобразования адресов.
iptables -t nat -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

# Syn-flood protection.
# Защита от Syn-flood.
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

# Furtive port scanner.
# Защита от скрытого сканирования портов.
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s 
-j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 
1/s -j ACCEPT

# Ping of death.
# Защита от Ping of death.
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j 
ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j 
ACCEPT

# Deny NEW end INVALID incoming or required routings packets from ppp0.
# Запрещаем NEW и INVALID входящие или требующие маршрутизации пакеты с ppp0.
iptables -A INPUT -i $EXTIF -m state --state NEW,INVALID -j DROP
iptables -A FORWARD -i $EXTIF -m state --state NEW,INVALID -j DROP

# Allow a packets which is related to, and part of an existing connection.
# Разрешаем пакеты принадлежащие и относящиеся к уже установленному 
соединению.
iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! $EXTIF -j ACCEPT
iptables -A block -j DROP

iptables -A INPUT -j block
iptables -A FORWARD -j block

# Do masquerading.
# Маскарадим ppp0.
iptables -t nat -A POSTROUTING -j MASQUERADE -s 192.168.0.0/24 -o ppp0

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#Разрешаем конектится из локальной сети к любому сервису
iptables -A INPUT -s 192.168.0.0/24 -i $EXTIF -j ACCEPT

#Разрешаем приходить и форвадится связанным пакетам (которые являются ответами 
на запросы)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -s 192.168.0.0/24  -j ACCEPT