[Comm] HELP! Проброс портов через файрволл с политикой DROP

=?iso-8859-1?q?Maxim=2ESavrilov_=CE=C1_socenter=2Eru?= =?iso-8859-1?q?Maxim=2ESavrilov_=CE=C1_socenter=2Eru?=
Вт Сен 7 06:27:20 MSD 2004


On Sat, 4 Sep 2004 00:22:17 +1100
Dmitry Lebkov <dima на sakhalin.ru> wrote:

> On Fri, 3 Sep 2004 13:49:39 +0700
> Maxim.Savrilov на socenter.ru wrote:
> 
> > On Fri, 03 Sep 2004 10:17:23 +0400
> > Alexey Morsov <samurai на ricom.ru> wrote:
> 
> [skip]
> 
> > 
> > Правил дофига, брал из какого-то скрипта, пробегавшего в этой же рассылке.
> 
> Скрипт - в студию!

во вложении

> 
> > # Generated by iptables-save v1.2.7a on Thu Sep  2 15:28:28 2004
> > *nat
> > :PREROUTING ACCEPT [2001848:218448129]
> > :POSTROUTING ACCEPT [1181956:79241549]
> > :OUTPUT ACCEPT [1209217:78494570]
> > [0:0] -A PREROUTING -d ! 192.168.0.0/255.255.255.0 -i $INT_IF -p tcp -m tcp --dport 80 -j DROP 
>                                                         ^^^^^^^
> Это откуда? В shell-script'е, который генерит
> правила, ошибка? Насколько я знаю, iptables-save|
> iptables-restore не позволяет таких конструкций.
> 
> До исправления этих ошибок дальше двигаться невозможно.

Нет, это я поменял, в предыдущих письмах у меня была легенда про все эти переменные

Ошибок нет, все грузится нормально.

Но порты нифига не пробрасывает

залез даже на http://www.iptables-script.dk/index1.php

выставил там порт-форвардинг и полученный скрипт запустил после отключения своего файрволла
и то же самое
вижу запросы на соединение, а ответов во внутренней сети нет


#!/bin/sh

# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael на 1go.dk

# Diable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='192.168.0.1/24'
LAN_NIC='eth1'
WAN_IP='x.x.x.x'
WAN_NIC='eth0'
FORWARD_IP='y.y.y.y'

# load some modules (if needed)

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports to server on LAN
iptables -A FORWARD -j ACCEPT -p tcp --dport 3389
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to y.y.y.y:3389

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward



уж тут-то что не так?


-- 
В эпоху романтизма инета мне на root на ... девушки писали.
А сейчас роботы, пауки и дебилы... (c) Sun-ch
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : firewall.bz2
Тип     : application/x-bzip2
Размер  : 5212 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20040907/b3be3b05/attachment-0004.bin>
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 307 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20040907/b3be3b05/attachment-0005.bin>


Подробная информация о списке рассылки community