шлюз на slackware12.0 (настройка)

[andreas90]

очень нужно.
Дано:
два компьютера, причем на машине (1) установлена slackware12.0. и две сетевые карты. На машине (1) ставлю шлюз. машина (2) - windows xp.
машина (1)
сетевая карты № 1
192.168.0.202 ip
255.255.255.0
192.168.0.1 шлюз
DNS 81.19.x.x
сетевая карты № 2 (через нее машина (2) выходит в сеть)
192.168.1.1 ip
255.255.255.0
192.168.0.1 шлюз
DNS 81.19.x.x

машина (2)
192.168.1.2 - ip
255.255.255.0
192.168.1.1 - шлюз ( на машине (1))
81.19.x.x. DNS



все сетевые карты подняты (up) причем клиент (2) и шлюз (1) друг друга пингуют.

Задача: как настроить slackware , чтобы машина (2) могла выходить в интернет через машину(1)
Выполненные условия ( что я накопал и сделал):
cat /proc/sys/net/ipv4/ip_forward = 1
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination


но дальше вышеуказанных пингов не пошло
что делать?

[bormant]

iptables -t nat -A POSTROUTING -s 192.168.1.2 -o eth0 -j SNAT --to-source 192.168.0.202

при условии, что сетевая карта №1 -- eth0, №2 -- eth1.

[andreas90]

iptables -t nat -A POSTROUTING -s 192.168.1.2 -o eth0 -j SNAT --to-source 192.168.0.202

при условии, что сетевая карта №1 -- eth0, №2 -- eth1.

завтра ( 4.07) как приду на работу, сделаю так, как вы и сказали, bormant, и сразу отпишусь заработало или нет.

[ford1813]

iptables -t nat -A POSTROUTING -s 192.168.1.2 -o eth0 -j SNAT --to-source 192.168.0.202

при условии, что сетевая карта №1 -- eth0, №2 -- eth1.

завтра ( 4.07) как приду на работу, сделаю так, как вы и сказали, bormant, и сразу отпишусь заработало или нет.

iptables-save -c
Маскарадить нужно если не ошибаюсь.

[andreas90]

еще такой вопрос - это где прописывать. Просто я в одной статье нашел, что нужно создать текстовый файл потом туда прописать правила типа iptables -t nat -A POSTROUTING -s 192.168.1.2 -o eth0 -j SNAT --to-source 192.168.0.202, затем сделать его исполняемым и сбросить в автозагрузку. Это так?

[ford1813]

еще такой вопрос - это где прописывать. Просто я в одной статье нашел, что нужно создать текстовый файл потом туда прописать правила типа iptables -t nat -A POSTROUTING -s 192.168.1.2 -o eth0 -j SNAT --to-source 192.168.0.202, затем сделать его исполняемым и сбросить в автозагрузку. Это так?

на opennet есть пример скриптов.

[Rusya89]

Знаю что так делать нельзя но когда та сам был такой же
#--------------------------------------------------------------------
$EXT_IFACE='eth0' #Внешний интерфейс
$EXT_IP='192.168.0.202' #Внешний ip адрес

#Включаем форвардинг
echo "1" > /proc/sys/net/ipv4/ip_forward

#Пропускаем установленные соединения и соединения с внутренней сети
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#Разрешаем udp и tcp 53 DNS
$IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 53 -j ACCEPT

#Разрешаем icmp
for type in 0 8 11; do
$IPTABLES -A INPUT -p icmp --icmp-type $type -j ACCEPT
done

#Натим машину 192.168.1.2 через внешний интерфейс
$IPTABLES -t nat -A POSTROUTING -s 192.168.1.2 -o $EXT_IFACE -j SNAT --to-source $EXT_IP

#Разрешаем форвардинг для машины 192.168.1.2
$IPTABLES -A FORWARD -s 192.168.1.2 -j ACCEPT

P.S. не ленитесь читать Iptables Tutorial и пользоваться Гуглом

[andreas90]

еще такой вопрос - это где прописывать. Просто я в одной статье нашел, что нужно создать текстовый файл потом туда прописать правила типа iptables -t nat -A POSTROUTING -s 192.168.1.2 -o eth0 -j SNAT --to-source 192.168.0.202, затем сделать его исполняемым и сбросить в автозагрузку. Это так?

на opennet есть пример скриптов.

набрал в консоли
iptables -t nat -A POSTROUTING -s 192.168.1.2 -o eth0 -j SNAT --to-source 192.168.0.202
iptables-save -c
все заработало. машина (2) выходит в интернет через машину (1) . Никаких скриптов пока не потребовалось. Передо мной стоит задача настроить шлюз на примерно 30 компьютеров.
Но в любом случае, благодарю вас bormant, wertik, так как на этой простой модели я понял что делать и где искать.

[McLeod095]

В слаке можно не писать
echo "1" > /proc/sys/net/ipv4/ip_forward

а просто дать права на запуск /etc/rc.d/rc.ip_forward
а создавать надо файл /etc/rc.d/rc.firewall и давать ему права на запуск
туда и писать правила
только основное правило что всегда в начале файла должны идти команды обнуления всех цепочек и т.п.

[andreas90]

кстати, а как при такой сетевой конфигурации скачивание по протоколу ftp запретить для клиента? А то я пытаюсь в консоли iptables -A FORWARD -i eth0 -d 192.168.1.2 -p tcp --dport 21 -j DROP потом ввожу iptables-save -c и все равно по ftp клиент качает. Перезагружаться надо?

[ford1813]

кстати, а как при такой сетевой конфигурации скачивание по протоколу ftp запретить для клиента? А то я пытаюсь в консоли iptables -A FORWARD -i eth0 -d 192.168.1.2 -p tcp --dport 21 -j DROP потом ввожу iptables-save -c и все равно по ftp клиент качает. Перезагружаться надо?

iptables-save -c
данная команда лишь показывает конфиг.
не нужно её вводить постоянно.

А все что касается ограничения лучше закрыть все , и открывать только то что нужно.

[andreas90]

кстати, а как при такой сетевой конфигурации скачивание по протоколу ftp запретить для клиента? А то я пытаюсь в консоли iptables -A FORWARD -i eth0 -d 192.168.1.2 -p tcp --dport 21 -j DROP потом ввожу iptables-save -c и все равно по ftp клиент качает. Перезагружаться надо?

iptables-save -c
данная команда лишь показывает конфиг.
не нужно её вводить постоянно.

А все что касается ограничения лучше закрыть все , и открывать только то что нужно.

а как все запретить? Я ввел в консоли iptables -P INPUT DROP, все равно с клиента выхожу в интернет

[McLeod095]

http://www.opennet.ru/docs/RUS/iptables/
читаем до просветления

[andreas90]

http://www.opennet.ru/docs/RUS/iptables/
читаем до просветления

уже 3 дня читаю ( и не только это) , но у меня это ничего не работает
вот, к примеру, ввожу в консоли
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
и все равно клиент выходит в интернет

[(asper]

Так не бывает вывод iptables -L -n после проделанных команд в студию.

[andreas90]

Так не бывает вывод iptables -L -n после проделанных команд в студию.

Код:

[root@andreas ipv4]# iptables -L -n Chain INPUT (policy DROP) target prot opt source destination ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 Ifw 0 -- 0.0.0.0/0 0.0.0.0/0 eth0_in 0 -- 0.0.0.0/0 0.0.0.0/0 eth1_in 0 -- 0.0.0.0/0 0.0.0.0/0 Reject 0 -- 0.0.0.0/0 0.0.0.0/0 LOG 0 -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:INPUT:REJECT:' reject 0 -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy DROP) target prot opt source destination eth0_fwd 0 -- 0.0.0.0/0 0.0.0.0/0 eth1_fwd 0 -- 0.0.0.0/0 0.0.0.0/0 Reject 0 -- 0.0.0.0/0 0.0.0.0/0 LOG 0 -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:FORWARD:REJECT:' reject 0 -- 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy DROP) target prot opt source destination ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 eth0_out 0 -- 0.0.0.0/0 0.0.0.0/0 eth1_out 0 -- 0.0.0.0/0 0.0.0.0/0 Reject 0 -- 0.0.0.0/0 0.0.0.0/0 LOG 0 -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:OUTPUT:REJECT:' reject 0 -- 0.0.0.0/0 0.0.0.0/0 Chain Drop (1 references) target prot opt source destination reject tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 dropBcast 0 -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 3 code 4 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 11 dropInvalid 0 -- 0.0.0.0/0 0.0.0.0/0 DROP udp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,445 DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpts:137:139 DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:137 dpts:1024:65535 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,139,445 DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1900 dropNotSyn tcp -- 0.0.0.0/0 0.0.0.0/0 DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53 Chain Ifw (1 references) target prot opt source destination Chain Reject (4 references) target prot opt source destination reject tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 dropBcast 0 -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 3 code 4 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 11 dropInvalid 0 -- 0.0.0.0/0 0.0.0.0/0 reject udp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,445 reject udp -- 0.0.0.0/0 0.0.0.0/0 udp dpts:137:139 reject udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:137 dpts:1024:65535 reject tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,139,445 DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1900 dropNotSyn tcp -- 0.0.0.0/0 0.0.0.0/0 DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53 Chain all2all (0 references) target prot opt source destination ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED Reject 0 -- 0.0.0.0/0 0.0.0.0/0 LOG 0 -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:all2all:REJECT:' reject 0 -- 0.0.0.0/0 0.0.0.0/0 Chain dropBcast (2 references) target prot opt source destination DROP 0 -- 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast DROP 0 -- 0.0.0.0/0 0.0.0.0/0 PKTTYPE = multicast Chain dropInvalid (2 references) target prot opt source destination DROP 0 -- 0.0.0.0/0 0.0.0.0/0 state INVALID Chain dropNotSyn (2 references) target prot opt source destination DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 Chain dynamic (4 references) target prot opt source destination Chain eth0_fwd (1 references) target prot opt source destination dynamic 0 -- 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW net2all 0 -- 0.0.0.0/0 0.0.0.0/0 Chain eth0_in (1 references) target prot opt source destination dynamic 0 -- 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW net2all 0 -- 0.0.0.0/0 0.0.0.0/0 Chain eth0_out (1 references) target prot opt source destination fw2net 0 -- 0.0.0.0/0 0.0.0.0/0 Chain eth1_fwd (1 references) target prot opt source destination dynamic 0 -- 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW loc2net 0 -- 0.0.0.0/0 0.0.0.0/0 Chain eth1_in (1 references) target prot opt source destination dynamic 0 -- 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW loc2fw 0 -- 0.0.0.0/0 0.0.0.0/0 Chain eth1_out (1 references) target prot opt source destination fw2loc 0 -- 0.0.0.0/0 0.0.0.0/0 Chain fw2loc (1 references) target prot opt source destination ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 Chain fw2net (1 references) target prot opt source destination ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 Chain loc2fw (1 references) target prot opt source destination ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 Chain loc2net (1 references) target prot opt source destination ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 Chain logdrop (0 references) target prot opt source destination LOG 0 -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:logdrop:DROP:' DROP 0 -- 0.0.0.0/0 0.0.0.0/0 Chain logreject (0 references) target prot opt source destination LOG 0 -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:logreject:REJECT:' reject 0 -- 0.0.0.0/0 0.0.0.0/0 Chain net2all (2 references) target prot opt source destination ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED Drop 0 -- 0.0.0.0/0 0.0.0.0/0 LOG 0 -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:net2all:DROP:' DROP 0 -- 0.0.0.0/0 0.0.0.0/0 Chain reject (11 references) target prot opt source destination DROP 0 -- 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast DROP 0 -- 0.0.0.0/0 0.0.0.0/0 PKTTYPE = multicast DROP 0 -- 255.255.255.255 0.0.0.0/0 DROP 0 -- 224.0.0.0/4 0.0.0.0/0 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset REJECT udp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-unreachable REJECT 0 -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain shorewall (0 references) target prot opt source destination Chain smurfs (0 references) target prot opt source destination LOG 0 -- 192.168.0.255 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:smurfs:DROP:' DROP 0 -- 192.168.0.255 0.0.0.0/0 LOG 0 -- 255.255.255.255 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:smurfs:DROP:' DROP 0 -- 255.255.255.255 0.0.0.0/0 LOG 0 -- 224.0.0.0/4 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:smurfs:DROP:' DROP 0 -- 224.0.0.0/4 0.0.0.0/0 [root@andreas ipv4]#

[ford1813]

http://www.opennet.ru/docs/RUS/iptables/
читаем до просветления

уже 3 дня читаю ( и не только это) , но у меня это ничего не работает
вот, к примеру, ввожу в консоли
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
и все равно клиент выходит в интернет

Потому что нужно FORWARD юзать.
И читать.

[(asper]

andreas90
запустите скрипт следующего содержания:

Код: Выделить всё

IPTABLES="/usr/sbin/iptables" # или где там он у вас :)
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -X
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP

После этого пакеты никуда не пойдут, если вы этого так добиваетесь.
За подробностями команд обращайтесь к мануалу или iptables tutorial

[andreas90]

andreas90
запустите скрипт следующего содержания:

Код: Выделить всё

IPTABLES="/usr/sbin/iptables" # или где там он у вас :)
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -X
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP

После этого пакеты никуда не пойдут, если вы этого так добиваетесь.
За подробностями команд обращайтесь к мануалу или iptables tutorial

С этим скриптом работает. Но если просто вводить из командной строки, то нет. Спасибо, (asper, наставили на путь истинный. Я еще не так крут в линуксе, и подумал, что нужно эти команды вводить в консоли. Теперь буду создавать правила в сценарии.

[leksstav]

очень нужно.
Дано:
два компьютера, причем на машине (1) установлена slackware12.0. и две сетевые карты. На машине (1) ставлю шлюз. машина (2) - windows xp.
машина (1)
сетевая карты № 1
192.168.0.202 ip
255.255.255.0
192.168.0.1 шлюз
DNS 81.19.x.x
сетевая карты № 2 (через нее машина (2) выходит в сеть)
192.168.1.1 ip
255.255.255.0
192.168.0.1 шлюз
DNS 81.19.x.x

машина (2)
192.168.1.2 - ip
255.255.255.0
192.168.1.1 - шлюз ( на машине (1))
81.19.x.x. DNS



все сетевые карты подняты (up) причем клиент (2) и шлюз (1) друг друга пингуют.

Задача: как настроить slackware , чтобы машина (2) могла выходить в интернет через машину(1)
Выполненные условия ( что я накопал и сделал):
cat /proc/sys/net/ipv4/ip_forward = 1
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination


но дальше вышеуказанных пингов не пошло
что делать?

Совсем тебе мозг запарили, смотри, ка у меня конфиг работает на слаке 12.0 suse 10.3 mandriva 2007 2008 2008.1 т.е. на трёх разных линуксах, iptables он один :-)))

ip что дал пров допустим 10.10.10.10

создаёшь обычный текстовик vi iptables и пишешь в него следующие строки:

#!/bin/sh
#
# /etc/rc.d/rc.local: Local system initialization script.
#
# Put any local startup commands in here. Also, if you have
# anything that needs to be run at shutdown time you can
# make an /etc/rc.d/rc.local_shutdown script and put those
# commands in there.
modprobe ip_nat_ftp
iptables -t nat -A POSTROUTING -s 192.168.100.100 -o eth0 -j SNAT --to-source 10.10.10.10 #USER1 даём доступ определённому ip
iptables -A INPUT -s 20.20.50.93 -j ACCEPT # допустим 20.20.50.93 это внешний домашний ip т.е. админим удалённо
iptables -A INPUT -s localhost -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.100.0/24 --dport 3128 -j ACCEPT # открываем для всей локальной сети порт 3128
iptables -A INPUT -p tcp -s 192.168.100.0/24 --dport 22 -j ACCEPT # открываем для всей локальной сети порт 22
iptables -A INPUT -p tcp -s 192.168.100.0/24 --dport 25 -j ACCEPT # открываем для всей локальной сети порт 25
iptables -A INPUT -p tcp -s 192.168.100.0/24 --dport 80 -j ACCEPT# открываем для всей локальной сети порт 80
iptables -A INPUT -p tcp -s 192.168.100.0/24 --dport 110 -j ACCEPT # открываем для всей локальной сети порт 110
iptables -t nat -A PREROUTING -p tcp -s 192.168.100.0/24 -d ! 192.168.100.200 --dport 80 -j REDIRECT --to-ports 3128 # Делаем прозрачный прокси т.е. не прийдётся у каждого юзера прописывать в браузере шлюз и порт поставил и работает :-) только не забудь в сквиде написать transparent
iptables -A INPUT -p icmp -j ACCEPT # разрешаем нас пинговать
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP

Вот и всё никакого гемора если что можешь в асю стукнуть помогу

[andreas90]

огромное спасибо, leksstav

[andreas90]

andreas90

Код: Выделить всё

IPTABLES="/usr/sbin/iptables" # или где там он у вас :)
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -X

После этого пакеты никуда не пойдут, если вы этого так добиваетесь.
За подробностями команд обращайтесь к мануалу или iptables tutorial

этих 3 строчек достаточно, чтобы пакеты вообще не шли. Зачем нужны последние 3
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
- не знаю, но они лишние.

[(asper]

- не знаю, но они лишние.

На случай если политики по умолчанию стояли ACCEPT

[andreas90]

- не знаю, но они лишние.

На случай если политики по умолчанию стояли ACCEPT

В общем, вчера пытался, сегодня с 8 утра пытаюсь, не работают настройки iptables, кроме если те первые 3 строчки ввести, то все блокируется.
А если эти 3 первые строчки не создавать, и делать так, как говорит, например leksstav, вообще весь трафик проходит.
eth0 192.168.0.206 - интернет
255.255.255.0
dns 81.19.128.2
eth1 192.168.1.1 шлюз
255.255.255.0
dns 81.19.128.2.
eth3 192.168.1.2 клиент
255.255.255.0
dns 81.19.128.2
скрипт
#!/bin/sh
#
# /etc/rc.d/rc.local: Local system initialization script.
iptables -t nat -A POSTROUTING -s 192.168.1.1 -o eth0 -j SNAT --to-source 192.168.0.206
iptables -A INPUT -s 192.168.0.1 -j ACCEPT
iptables -A INPUT -s localhost -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.0--dport 3128 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.0 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.0 --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.0 --dport 80 -j DROP
iptables -A INPUT -p tcp -s 192.168.1.0 --dport 110 -j ACCEPT
iptables -P INPUT DROP

FORWARD не помогает

[McLeod095]

Я напрмер не вижу что вы уважаемый все таки прочитали доку и внимательно посмотрели на примеры там приведенные.
Вам уже правильно написали
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -X
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
Закрывает все
Разберитесь с тем что делают первые три строчки и после этого будет все понятно.
Это первое.
Второе
не пытайтесь на первых стадиях вводить все с консоли и проверять, сосздайте скрипт и там пробуйте просто запуская его (и кстати вот в нем не забудте вышеприведенные строки написать первыми).

Прочитайте еще раз документацию, обратите внимание на цепочки прохождения/ пакетов предназначенных для другого компьютера для локального и также идущие от локального и от другого.
Так же обратите внимание все таки на вводные советы по написанию правил, как происходит прохождение каждого правила, какое правило выполняется всегда последним и т.п.

В написании правил у Вас уже есть успехи, но вот пока с пониманием работы не все гладко. Как только разберетесь все заработает.

Я бы конечно мог привести тут свой файл с правилами, но не буду т.к. он на пару сот строк, и сделан так как написано в документации приведенной в предыдущем сообщении.

[andreas90]

Все, сейчас получается. Благодарю вас, McLeod095

[BigKAA]

Народ, почитал тут у вас

Не понимаю некоторых вещей

1.
$IPTABLES -t nat -A POSTROUTING -s 192.168.1.2 -o $EXT_IFACE -j SNAT --to-source $EXT_IP

Вы серьезно пишите именно так? -s IP ? Гы А если у вас 50 машин? Вы что напишите 50 таких строчек?
А что будет с пакетами машин, которые вы в этом правиле не опишите?

2. Почему правила state пишут последними в скрипте? Вы хотите что бы netfilter медленно работал?
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

3. А почему нет такого правила?
iptables -A INPUT -m state --state INVALID -j DROP

[leksstav]

- не знаю, но они лишние.

На случай если политики по умолчанию стояли ACCEPT

В общем, вчера пытался, сегодня с 8 утра пытаюсь, не работают настройки iptables, кроме если те первые 3 строчки ввести, то все блокируется.
А если эти 3 первые строчки не создавать, и делать так, как говорит, например leksstav, вообще весь трафик проходит.
eth0 192.168.0.206 - интернет
255.255.255.0
dns 81.19.128.2
eth1 192.168.1.1 шлюз
255.255.255.0
dns 81.19.128.2.
eth3 192.168.1.2 клиент
255.255.255.0
dns 81.19.128.2
скрипт
#!/bin/sh
#
# /etc/rc.d/rc.local: Local system initialization script.
iptables -t nat -A POSTROUTING -s 192.168.1.1 -o eth0 -j SNAT --to-source 192.168.0.206
iptables -A INPUT -s 192.168.0.1 -j ACCEPT
iptables -A INPUT -s localhost -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.0--dport 3128 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.0 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.0 --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.0 --dport 80 -j DROP
iptables -A INPUT -p tcp -s 192.168.1.0 --dport 110 -j ACCEPT
iptables -P INPUT DROP

Вы пишете
iptables -t nat -A POSTROUTING -s 192.168.1.1 -o eth0 -j SNAT --to-source 192.168.0.206
неправильно ибо вместо 192.168.1.1 вы пишете ip той машины которой даёте доступ в нет, а не ip сетевухи что смотрит в локальную сеть !
FORWARD не помогает

[andreas90]

Народ, почитал тут у вас

Не понимаю некоторых вещей

1.
$IPTABLES -t nat -A POSTROUTING -s 192.168.1.2 -o $EXT_IFACE -j SNAT --to-source $EXT_IP

Вы серьезно пишите именно так? -s IP ? Гы А если у вас 50 машин? Вы что напишите 50 таких строчек?
А что будет с пакетами машин, которые вы в этом правиле не опишите?

не подскажете, если машин действительно 50, чем можно заменить 50 таких строчек?

[(asper]

не подскажете, если машин действительно 50, чем можно заменить 50 таких строчек?

Например маской: 192.168.1.0/255.255.255.0