подскажите как сделать в

iptables -A -s 10.247.107.29/32 -p tcp -m tcp --dport 25 -j DROP

так чтоб не блокировать савсем всё, а разрешить этому человеку только 3 одновременных коннекта на 25 порт?

есть dns-сервер с dind9.4.3 и сетевой картой (ip=xxx.xxx.142.244) и с alias на ней(ip=yyy.yyy.237.77) . IP от разных канало, разных провайдеров.
Нужно отдать провайдеру yyy.yyy зону in-addr.arpa с IP который на eth0:1.
С помощью ip rule я сделал дополнительную таблицу, добавил правило что когда "... to yyy.yyy.128.5/32 table ISP2"
но у меня в обеих таблицах, и в основной и дополнительной получается, что "default via xxx.xxx.142.241 dev eth0" , т.к. маршруты потом расходятся по разным каналам на роутере.

Вопрос: будет ли в этом случае bind обращаться к DNS провайдера yyy.yyy c интерфейса eth0:1 IP=yyy.yyy.237.77 ?
или как это сделать по-другому/правильному?

Запланировали у нас подключение сетей удалённых оффисов в кол-ве 7 через VLAN канал провайдеров, для доступа к сети головного оффиса и выхода в иннет через канал головного. Сети везде вида 10.0.1.0 (головной), 10.0.2.0 и т.п. Возникла мысль на Линукс-роутере головного сделать интерфес=10.0.11.1/24, и прописать маршруты до роутеров уд.оффисов (10.0.2.0/24 --> 10.0.11.2 и т.п.), а на железках и линукс-роутерах удалённых оффисов соответсвенно тоже IP адреса из этой подсети и прописать 10.0.11.1 в качестве маршрута по-умолчанию. Мне кажется это должно направить и на сеть головного и в сеть интернет? Но кроме этого нужно обединить пару оффисов напрямую (т.к. каналы предоставленные провайдерами не широки, то думается предоставить доступ к их сетям именно минуя головной оффис). если прописать на роутерах этих оффисов доп. маршруты до сети соседа (10.0.3.0/24 --> 10.0.11.3 и на соседнем соответсвенно 10.0.4.0/24 --> 10.0.11.4) будет ли это правильно работать? А то мнение двух моих знакомых разделились :( один утверждает, что не будет, нужно поднимать протокол маршрутизации RIP, или прописывать маршруты на всех роутерах до всех сетей, что довольно проблематично ибо часть роутеров - это простенькие d-link или им подобные, где я не уверен в поддержке каких либо протоколов маршрутизации... да и руками прописывать все сети на каждом, есть ли надобность?

проблемма встала новым боком!
через канал РТКомм не проходят пакеты
 <mss 1460,sackOK,timestamp 437133527 0> =CentOS5.2
причём c 
 <mss 1460,sackOK,timestamp 329335445 0,nop,wscale 0> =Fedora1
всё ОК!

пробую включит tcp_window_scaling на CentOS не помагает
 <nop,wscale 7>
есть подозрения что если поставить 
 <net.ipv4.tcp_default_win_scale = 0> как счас на Fedora1
то может заработает, НО!
на CentOS нету такого
 sysctl -a | grep scal
net.ipv4.tcp_adv_win_scale = 2
net.ipv4.tcp_window_scaling = 0

что можно сделать? :о/

>>>

какие то не понятные проблеммы с коннектом на некоторые хосты... 
проблеммы на новых хостах (CentOS 5, Debian 4), например не пускает на некоторые сайты 

telnet www.gzalt.ru 80 
Trying 83.246.142.20... 
Connected to www.gzalt.ru (83.246.142.20). 
Escape character is '^]'. 
GET / HTTP/1.0 


 tcpdump -i eth0 | grep dsluplink-142-20.intelbi.ru
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
10:14:40.607574 IP ns.39008 > dsluplink-142-20.intelbi.ru.http: S 2526085832:2526085832(0) win 5840 <mss 1460,sackOK,timestamp 866556067 0,nop,wscale 7>
10:14:40.610610 IP dsluplink-142-20.intelbi.ru.http > ns.39008: S 1837232437:1837232437(0) ack 2526085833 win 16384 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>
10:14:40.610626 IP ns.39008 > dsluplink-142-20.intelbi.ru.http: . ack 1 win 46 <nop,nop,timestamp 866556070 0>
10:14:44.441160 IP ns.39008 > dsluplink-142-20.intelbi.ru.http: P 1:17(16) ack 1 win 46 <nop,nop,timestamp 866559901 0>
10:14:44.550107 IP dsluplink-142-20.intelbi.ru.http > ns.39008: . ack 17 win 65519 <nop,nop,timestamp 11232174 866559901>
10:14:44.679297 IP ns.39008 > dsluplink-142-20.intelbi.ru.http: P 17:19(2) ack 1 win 46 <nop,nop,timestamp 866560139 11232174>
10:14:45.589371 IP ns.39008 > dsluplink-142-20.intelbi.ru.http: P 17:19(2) ack 1 win 46 <nop,nop,timestamp 866561049 11232174>
10:14:45.592147 IP dsluplink-142-20.intelbi.ru.http > ns.39008: . ack 19 win 65517 <nop,nop,timestamp 11232184 866560139>

а также не пускает на почту
 telnet mail.capitalbank.ru 25
Trying 212.94.116.241...
Connected to mail.capitalbank.ru (212.94.116.241).
Escape character is '^]'.

и тишина....

^]
telnet> q


tcpdump -i eth0 | grep mail.capitalbank.ru
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
10:24:42.255680 IP ns.55702 > mail.capitalbank.ru.smtp: S 3163918826:3163918826(0) win 5840 <mss 1460,sackOK,timestamp 867157751 0,nop,wscale 7>
10:24:42.266785 IP mail.capitalbank.ru.smtp > ns.55702: S 1855988938:1855988938(0) ack 3163918827 win 64512 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>
10:24:42.266814 IP ns.55702 > mail.capitalbank.ru.smtp: . ack 1 win 46 <nop,nop,timestamp 867157762 0>
1362 packets captured

на этих машинах файрвола нет, есть дальше, на всю сеть общий, но машины с более старыми линуксами через него на эти же хосты нормально ходят :О((

>>>

встала такая проблемма: В глобале имеется комп 212.212.212.212:2002. Имеется свой хост в глобале 78.78.78.78, к которому есть доступ из локалки (192.168.0.0)

Необходимо заНАТить доступ из локалки через 78.78.78.78:2002 на 212.212.212.212:2002

Как это сделать через iptables если сетевуха на 78.78.78.78 только одна!? 78.78.78.78 находится в ДМЗ поэтому доступ к нем почти прямой, через шлюз стоящий между глобалом, ДМЗ, локалкой..

>>>

на 5.0.32-Debian_7etch1 при старте выпадает предупреждение Checking for corrupt, not cleanly closed and upgrade needing tables..

проверял mysqlcheck --auto-repair --check-upgrade --all-databases выводит радостные OK...

но при старте опять предупреждает. В чём дело, и как исправить?

>>>

в графиках кривой, не русский фонт :о(( в конфиге webalizer рекомендуют X-TT/wadalab-gothic.ttf не могу найти его нигде :о(( (Debian 4 использую, без Х-ов) попробовал kochi-gothic.ttf не подходит - русский появился но всё растянуто так что накладывается на всё и вся :о((( подскажите что сделать, или просто кинте ссылкой на ttf-ку

>>>