LINUX.ORG.RU
ФорумAdmin

[iptables] Помогите с настройкой

 


0

0

Такая ситуация:
Локальная сеть (из Windows машин). Все они входят в домен Windows (сервер Windows 2003 Server, на нём же крутится DHCP). Вот что имеем на интересующей меня машине.
=================================================
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : roman
Основной DNS-суффикс . . . . . . : 2GIS.local
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : 2GIS.local
2gis
Подключение по локальной сети - Ethernet адаптер:
DNS-суффикс этого подключения . . : 2gis
Описание . . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connection
Физический адрес. . . . . . . . . : 00-13-20-CA-6B-CD
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.0.6
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.22
DHCP-сервер . . . . . . . . . . . : 192.168.0.1
DNS-серверы . . . . . . . . . . . : 192.168.0.22
195.46.116.1
195.46.96.1
Основной WINS-сервер . . . . . . : 192.168.0.1
Аренда получена . . . . . . . . . : 18 июля 2006 г. 9:01:37
Аренда истекает . . . . . . . . . : 26 июля 2006 г. 9:01:37
=================================================
На машине 192.168.0.22 (внешний постоянный IP-адрес 87.103.134.45) (Fedora Core 5) крутится DNS, Squid и iptables. Мне надо каким-то образом разрешить машине 192.168.0.6 подключаться к некоторым портам (ssh, mysql, 1024) любых внешних машин.
Сейчас у меня такие настройки iptables (но они почему-то не работают!):
================================================
# Generated by iptables-save v1.3.5 on Mon Jul 17 00:19:22 2006
*nat
:PREROUTING ACCEPT [3000:299134]
:POSTROUTING ACCEPT [2089:165479]
:OUTPUT ACCEPT [2089:165479]
-A POSTROUTING -s 192.168.0.6 -o 87.103.134.45 -j SNAT --to-source 87.103.134.45
COMMIT
# Completed on Mon Jul 17 00:19:22 2006
# Generated by iptables-save v1.3.5 on Mon Jul 17 00:19:22 2006
*mangle
:PREROUTING ACCEPT [31849:10761772]
:INPUT ACCEPT [31786:10757939]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [39665:9327957]
:POSTROUTING ACCEPT [39981:9402849]
COMMIT
# Completed on Mon Jul 17 00:19:22 2006
# Generated by iptables-save v1.3.5 on Mon Jul 17 00:19:22 2006
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [39665:9327957]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 143 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 10000 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Mon Jul 17 00:19:22 2006
==============================================

Подскажите в чём может быть дело?
Спасибо.


да вроде все правильно. попробуй понюхать tcpdump'ом на внешнем интерфейсе и попинговать с 192.168.0.6 какие-нибудь внешние айпи

anonymous
()
Ответ на: комментарий от anonymous

Не помогает :-(
Может быть это всё из-за того, что у меня интернет подключён через pppoe?
Т. е. есть ещё интерфейс ppp0 и через него идёт весь трафик.

Kinjo
() автор топика
Ответ на: комментарий от anonymous

Я так понял маскарадинг нужен для случая, когда IP-адрес динамический. Но у меня он как раз статический.
Или я не прав?

Kinjo
() автор топика
Ответ на: комментарий от Kinjo

Всё, заработало!
Спасибо всем откликнувшимся.
Дело было в ip_forwarding.

Kinjo
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.