конфиг iptables

Первая строка должна работать, тут ничего подозрительного нет, и всё ясно, что оно делает. Насчёт второй и третьей — зависит от того, что нужно. То, что ты сделал, будет отбрасывать 10% всех входящих и проходящих icmp-пакетов (пингов, например). При этом Если оно тебе надо (и надо именно icmp отбрасывать), то оставляй. Из pastebin непонятны строки:

$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

Они на системных цепочках ничего не делают, они только для удаления пользовательских цепочек.

Вторая и третья строки вобще загадка. ″-s y″ даст ошибку при вводе правила, разве что принять, что ″y″ это ″LAN1_IP_RANGE″. Но чего этим хочет добится ТС не понятно, избирательных проблем с MTU?

В общем, ждём пояснений, в чём суть и в чём сомнение.

Может, сам найдёшь ответ тут: http://www.faqs.org/docs/iptables/traversingoftables.html , если вопрос по поводу того, попадут ли пакеты, подвергнутые NAT'у, в таблицу filter.

да ты прав, y - это ″LAN1_IP_RANGE", и добиться я хочу потери пакетов для тестовых стендов за этим шлюзом. Следственно мне нужен рабочий нат, dhcp на эти 30-40 «устройств» ну и потери пакетов согласно правилу.

но я и сети реально совместимы ток с гуями

Это кто нам там рассказывал что знаёт сиско?

будет ли работать такое?

А прогнать цепочку правил и посмотреть результат не судьба?

Вчера после работы поехал в одну контору на собеседование, как обычно тупая, абсолютно ничего не понимающая hrка, которая как оказалось хочет заменить надоевшего и не боящегося её админа.

2821=gui

cisco это не только 2821

сегодня после обеда прогоню, ночь была, думал мож кто явную ошибку видит.

я знаю гуёвые циски, а их тьма ^_^, и я кстати писал, что знаю гуёвые циски и предпочитаю.

в общем он у меня ругается на аргумент --mode.... капец

Какая ОС, какая версия ядра?

У меня на убунточке всё нормально прописалось )

применится то применилось, я забыл в одном mode второй пробел, но один фиг не работает правило