Помогите с Iptables
Добавлено: 2012-07-29 17:04:29
Помогите разобраться! Если убираю -m state --state ESTABLISHED,RELATED -j ACCEPT, то шлюз не работает
вот мой конфиг система CentOS 6.3
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o eth0 -j ACCEPT
$IPT -A OUTPUT -o eth1 -j ACCEPT
# Табличка INPUT
$IPT -A INPUT -i eth0 -p tcp --dport 22 -s 192.168.5.0/24 -j ACCEPT
$IPT -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
$IPT -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -i eth1 -p tcp -m multiport --dports 80,53,443 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp -m multiport --dports 80,53,443 -j ACCEPT
$IPT -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT
# Табличка FORWARD
#$IPT -A FORWARD -j ACCEPT
$IPT -A FORWARD -p tcp -i eth0 -o eth1 -m multiport --destination-port 53,80,443 -s 192.168.5.0/24 -j ACCEPT
#$IPT -A FORWARD -p tcp -i eth1 -o eth0 -m multiport --destination-port 53,80,443 -j ACCEPT
$IPT -A FORWARD -p udp -i eth0 -o eth1 -m multiport --destination-port 53 -s 192.168.5.0/24 -j ACCEPT
#$IPT -A FORWARD -p udp -i eth1 -o eth0 -m multiport --destination-port 53 -j ACCEPT
$IPT -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Табличка NAT используем SNAT указываем реальный IP и кидаем порты 25 и 110
$IPT -t nat -A PREROUTING -p tcp --sport 25 --dport 25 -j DNAT --to-destination 192.168.5.2:25
$IPT -t nat -A PREROUTING -p tcp --sport 110 --dport 110 -j DNAT --to-destination 192.168.5.2:110
$IPT -t nat -A POSTROUTING -o eth1 -s 192.168.5.0/24 -j SNAT --to-source $IP
вот мой конфиг система CentOS 6.3
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o eth0 -j ACCEPT
$IPT -A OUTPUT -o eth1 -j ACCEPT
# Табличка INPUT
$IPT -A INPUT -i eth0 -p tcp --dport 22 -s 192.168.5.0/24 -j ACCEPT
$IPT -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
$IPT -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -i eth1 -p tcp -m multiport --dports 80,53,443 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp -m multiport --dports 80,53,443 -j ACCEPT
$IPT -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT
# Табличка FORWARD
#$IPT -A FORWARD -j ACCEPT
$IPT -A FORWARD -p tcp -i eth0 -o eth1 -m multiport --destination-port 53,80,443 -s 192.168.5.0/24 -j ACCEPT
#$IPT -A FORWARD -p tcp -i eth1 -o eth0 -m multiport --destination-port 53,80,443 -j ACCEPT
$IPT -A FORWARD -p udp -i eth0 -o eth1 -m multiport --destination-port 53 -s 192.168.5.0/24 -j ACCEPT
#$IPT -A FORWARD -p udp -i eth1 -o eth0 -m multiport --destination-port 53 -j ACCEPT
$IPT -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Табличка NAT используем SNAT указываем реальный IP и кидаем порты 25 и 110
$IPT -t nat -A PREROUTING -p tcp --sport 25 --dport 25 -j DNAT --to-destination 192.168.5.2:25
$IPT -t nat -A PREROUTING -p tcp --sport 110 --dport 110 -j DNAT --to-destination 192.168.5.2:110
$IPT -t nat -A POSTROUTING -o eth1 -s 192.168.5.0/24 -j SNAT --to-source $IP
Код: Выделить всё
iptablesКод: Выделить всё
шлюз