Дано: CenoOS 6 80 машин в локальной сети. Доступ осуществляется через NAT с помощью stargazer сеть: в локалку смотрят 2 интерфейса eth1 10.0.0.1 и eth1:1 10.0.10.1 (деление на 2 подсети) в интернет смотрят 2 интерфейса eth0 192.168.85.41 и eth0:1 192.168.85.141 таблица роутинга такова:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.85.0 * 255.255.255.0 U 0 0 0 eth0
10.0.0.0 * 255.255.255.0 U 0 0 0 eth1
10.0.10.0 * 255.255.255.0 U 0 0 0 eth1
link-local * 255.255.0.0 U 1002 0 0 eth0
link-local * 255.255.0.0 U 1003 0 0 eth1
default 192.168.85.1 0.0.0.0 UG 0 0 0 eth0
IPT="/sbin/iptables"
#============PEREMENNIE=============================
server0=192.168.85.41
server1=192.168.85.141
server2=10.0.0.1
server3=10.0.10.1
server4=
admin=10.0.0.250
admin2=192.168.88.136
admin3=10.0.0.5
bibl=10.0.10.161
conf_port=5555
user_port=5555
vnet=10.0.0.0/24
vnet2=10.0.10.0/24
#===========IPv4==============================
$IPT -F
$IPT -X
$IPT -F -t nat
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT
#==========IPv6==============================
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
ip6tables -A INPUT -i eth0 -j DROP
ip6tables -A FORWARD -j DROP
#============================================
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#==================localhost=================
#razreshim vse na lo
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
##podset1
##razreshim ping servera iz lokali
$IPT -A INPUT -s 10.0.0.0/24 -i eth1 -p icmp -j ACCEPT
$IPT -A OUTPUT -s 10.0.0.0/24 -o eth1 -p icmp -j ACCEPT
##podset2
$IPT -A INPUT -s 10.0.10.0/24 -i eth1 -p icmp -j ACCEPT
$IPT -A OUTPUT -s 10.0.10.0/24 -o eth1 -p icmp -j ACCEPT
#=========ping s servera v inet==============
#$IPT -A INPUT -p icmp -j ACCEPT
#$IPT -A FORWARD -p icmp -j ACCEPT
#$IPT -A OUTPUT -p icmp -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp -j ACCEPT
$IPT -A OUTPUT -o eth0 -p icmp -j ACCEPT
#=========DNS server=========================
$IPT -A INPUT -p tcp --sport 53 -j ACCEPT
$IPT -A FORWARD -p tcp --sport 53 -j ACCEPT
$IPT -A FORWARD -p tcp --dport 53 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 53 -j ACCEPT
$IPT -A INPUT -p udp --sport 53 -j ACCEPT
$IPT -A FORWARD -p udp --sport 53 -j ACCEPT
$IPT -A FORWARD -p udp --dport 53 -j ACCEPT
$IPT -A OUTPUT -p udp --dport 53 -j ACCEPT
#=========FTP================================
$IPT -A INPUT -s 10.0.0.0/24 -i eth1 -p tcp -m multiport --dport 20,21 -j ACCEPT
modprobe ip_conntrack_ftp
#bez ispolzovanija modprobe ne securno
#$IPT -A OUTPUT -s 10.0.0.0/24 -o eth1 -p tcp -m multiport --sport 20,21 -j ACCEPT
#=========SAMBA==============================
$IPT -A INPUT -s $vnet -i eth1 -p tcp -m multiport --dport 139,445 -j ACCEPT
$IPT -A INPUT -s $vnet2 -i eth1 -p tcp -m multiport --dport 139,445 -j ACCEPT
#=========STARGAZER==========================
#==vne pravil================================
$IPT -t nat -I POSTROUTING -s 10.0.0.4 -o eth0 -j SNAT --to-source 192.168.85.41
$IPT -t nat -I POSTROUTING -s 10.0.0.200 -o eth0 -j SNAT --to-source 192.168.85.41
##=razreshim dla stargazer forward, bez nego ne rabotaet
$IPT -A FORWARD -i eth1 -s $vnet -o eth0 -j ACCEPT
$IPT -A FORWARD -i eth1 -s $vnet2 -o eth0 -j ACCEPT
##=======KONFIGURATOR=========================
$IPT -A INPUT -p tcp -s $vnet -d $server2 --dport $conf_port -j ACCEPT
$IPT -A OUTPUT -p tcp -d $vnet -s $server2 --sport $conf_port -j ACCEPT
#----------------------------------------------
$IPT -A INPUT -p tcp -s $bibl -d $server3 --dport $conf_port -j ACCEPT
$IPT -A OUTPUT -p tcp -d $bibl -s $server3 --sport $conf_port -j ACCEPT
##=======InetAcces============================
$IPT -A INPUT -p udp -s $vnet --sport $user_port -d $server2 -j ACCEPT
$IPT -A OUTPUT -p udp -d $vnet --dport $user_port -s $server2 -j ACCEPT
#=========SSH================================
$IPT -A INPUT -p tcp -s $admin -d $server2 --dport 22 -j ACCEPT
$IPT -A OUTPUT -p tcp -d $admin -s $server2 --sport 22 -j ACCEPT
#=========SSH_buh================================
$IPT -A INPUT -p tcp -s $admin3 -d $server2 --dport 22 -j ACCEPT
$IPT -A OUTPUT -p tcp -d $admin3 -s $server2 --sport 22 -j ACCEPT
#=========home_ssh===========================
$IPT -A INPUT -p tcp -s $admin2 -d $server0 --dport 22 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $admin2 -d $server0 --dport 22 -j ACCEPT