Используй лоркод и тег [code]

ok, всё исправил

Правила выполняются по порядку прохождения. То есть, если какой то пакет попал под правило IPTABLES -P INPUT DROP, то до правила IPTABLES -A INPUT -s 10.72.143.198 -j ACCEPT ему дожить уже не судьба.

последнее правило только принимает пакеты от сервера. если ты к серверу шлёшь пакет они дропается, т.к. -s означает source. -d надо ещё дописать.

-P это policy, он всегда в конце выполняется.

> То есть, если какой то пакет попал под правило IPTABLES -P INPUT DROP, то до правила IPTABLES -A INPUT -s 10.72.143.198 -j ACCEPT ему дожить уже не судьба.

Незачёт, иди читать man iptables. -P задаёт дефолтную политику.

Советую почитать ман по iptables, у тебя полиси на цепочке FORWARD DROP, а какие-либо разрешаюшие правила отсутсвуют.

>IPTABLES -A INPUT -s 10.72.143.198 -j ACCEPT

Тебе нужен не INPUT и не OUTPUT, а вовсе даже FORWARD

http://yandex.ru/yandsearch?text=%D0%BF%D0%B5%D1%80%D0%B5%D0%B2%D0%BE%D0%B4+i...

Т.е. скрипт может принять вот такой вид?

#!/bin/bash
IPTABLES -F
IPTABLES -t nat -F
IPTABLES -t mangle -F
IPTABLES -X
IPTABLES -t nat -X
IPTABLES -t mangle –X

IPTABLES -P INPUT ACCEPT
IPTABLES -P FORWARD ACCEPT
IPTABLES -P OUTPUT ACCEPT

IPTABLES -A INPUT -i lo -j ACCEPT
IPTABLES -A OUTPUT -o lo -j ACCEPT

IPTABLES -A FORWARD -s 10.72.143.198 -j ACCEPT
IPTABLES -A FORWARD -d 10.72.143.198 -j ACCEPT

IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

IPTABLES -A FORWARD -p any -j DROP
IPTABLES -A INPUT -p any -j DROP

Лучше правила с ESTABLISHED,RELATED поставить повыше.

если eth0 ведёт в бухгалтерию, а eth1 - в остальную сеть, то

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -d 10.72.143.198 -j ACCEPT
[...]
iptables -A FORWARD -i eth1 -o eth0 -j REJECT # я бы указал в явном виде

Если уж "-j REJECT", так уж на все пакеты (без указания интерфейсов). А то получается, что если лезем из общей сети в бухгалтерию, то REJECT, а если из бухгалтерии, то DROP (по политики).

[offtop] может просто сетевушку вторую в Гарант воткнуть? [/offtop]

Ну сколько раз я уже говорил на этом форуме: прочитай _вдумчиво_ с разбором полётов (в виртуалке) фундаментальную статью nnz (кстати, куда он пропал) и товарищей на википедии. Затем возьми карандаш или ручку (ещё лучше доску с фломастером) и нарисуй схему твоей сети и предполагаемую реализацию: куда что разрешено, запрещено, какие протоколы используются. Без этого на первых порах к ноуту можешь даже не подходить. Знание iptables/netfilter - это основа. Её должен знать/понимать каждый (имхо), работающий с GNU/Linux, тем более со шлюзами. Касательно твоего случая, ответь на два вопроса:

Как предполагается администрирование данного шлюза (ssh,web,webmin)?

Доступ к «Гарант» это какие порты/протоколы (rdp)?

Я надеюсь, что ничего жырнее баланды такому быдлоадмину не платят.

Не всё так просто и банально. Сервер Гаранта только один из около 20 серверов (антивирус, AD, электронный документооборот, внутренний веб-сайт и т.д.) Во все сервера вторую сетевушку нет смысла втыкать. Т.к. бухгалтерия работает с персональными данными нужно ПО сертифицированное ФСТЭК, как Alt Linux. Я работаю в гос. конторе и платят действительно только на баланду, чтобы выжить. Деньги на ПО Москва выделяет, но по принципу - вот тебе деточка 100 руб. на ресторан - оторвись по полной. Поэтому такой интерес к свободному ПО. И Москва периодически устраивает проверку - а не воруем ли мы ПО компании Microsoft и если ворует лишает директора премии. А он карает всех до последнего техника. Насчёт цепочки FORWARD я завтра проверю. Если действительно не сложно, киньте ссылкой на нормальную адекватную статью по iptables. Всё что я прочёл и осознал - в результате привелось к вышеприведенному скрипту.

Написал же выше http://ru.wikipedia.org/wiki/Iptables.

> статью по iptables

http://www.opennet.ru/docs/RUS/iptables/

Мне вот интересно, а правила iptables москва тоже проверяет? Что вызвало необходимость отделения бухгалтерии и позволяет ли это «что» устанавливать какие-либо связующие маршрутизаторы? Ибо врубаем FORWARD -p ACCEPT и все проблемы решаются :)

Всем спасибо!

Прекрасно работает следующий скрипт

iptables -F
iptables -X

iptables -P FORWARD ACCEPT
iptables -P OUTPUT  ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -s 10.72.101.0/25 -d 10.72.143.198/32 -j ACCEPT
iptables -A FORWARD -s 10.72.143.198/32 -d 10.72.101.0/25 -j ACCEPT
iptables -A FORWARD -j DROP

Всё проще и банальней.
Приезжает проверка из Москвы на ноуте врубают программку - она сканирует всю сеть и показывает весь софт который стоит в локалке. Москва просит показать лицензии, счёт-фактуры, товарные накладные на весь софт.
Насчёт бухов. Т.к. они работают с персональными данными - оборудование и софт должен быть сертифицирован ФСТЭК поэтому просит показать сертификаты.
Бухи просто сами себе злобные буратино - могут выложить приказ на премиии в общий доступ - а потом вся контора его обсуждает.
С настройками iptables уже не выложат.

Статью не читал ? :)

>iptables -A FORWARD -s 10.72.143.198/32 -d 10.72.101.0/25 -j ACCEPT

Ты уверен, что тебе это нужно? Гаранту нужно подключаться к бухгалтерии?

Нужно, «если долго всматриваться в бездну, бездна начинает всматриваться в тебя». Пусть и Гарант посмотрит, что там творится в бухгалтерии. А не только бухгалтерия будет терзать Гарант глупыми запросами насчёт бухгалтерских справок. :)

>чтобы из общей сети организации был запрещен доступ к сети бухгалтерии

Либо задание неточно, либо доступ с Гаранта в бухгалтерию всё-таки лишний. Правила с ESTABLISHED вполне достаточно

трансляция адресов

А требуется ли в данном случае SNAT? Если нет, то почему?

... Если да, то нафига?