[sisyphus] Помогите plz с iptables

[Dmitriy L. Kruglikov]

On Wed, 12 Jul 2006 09:10:26 +0400
Шишков Евгений Витальевич wrote:

> Все решил двумя строчками в /etc/sysconfig/iptables
> в секции *filter
> [0:0] -A FORWARD -s 192.168.1.0/24 -d 12.34.56.7 -j ACCEPT
> [0:0] -A FORWARD -s 12.34.56.7 -d 192.168.1.0/24 -j ACCEPT
> [0:0] -A INPUT -s 192.168.1.0/24 -p tcp -m tcp -i eth1 -d
> 12.34.56.7 -j ACCEPT
> 
> Насколько это правильно/криво?
Если двумя, значить двумя.....
Строка 
[0:0] -A FORWARD -s 12.34.56.7 -d 192.168.1.0/24 -j ACCEPT
лишняя ...
Машина с адресом 12.34.56.7 ни при каких условиях не сможет
вызвать 192.168.1.0/24, кроме случая тунеля ...
Сети такого типа не маршрутизируются через Инет ...
Запросы от 192.168.1.0/24 к 12.34.56.7 должны маскироваться в
секции *nat строкой вида 
-A POSTROUTING -s 192.168.1.0/24 -d 12.34.56.7 -o eth0 -j SNAT --to-source ХХ.ХХ.ХХ.ХХ 
Ответы от адреса 12.34.56.7 будут проходить по правилам 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
секции *filter


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6 на jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Не рассчитывай на завтрашний день, пока он не наступил, ибо
никто не знает, какие беды этот день принесет.
		-- Древнеегипетское изречение