Настройка Ubuntu Firewall для двух сетевых карт (ufw обрезает доступ в одну из сетей)

[budda]

Ubuntu 9.10
2 сетевые карты
на 1-ой адрес 172.16.0.2 смотрит в домашнюю сеть и роутер 172.16.0.1 Dlink320 (интернет через него)
на 2-ой адрес 192.168.16.132 смотрит в районную сеть и роутер 192.168.16.1
прописан маршрут для внутренний сети:
route add -net 192.168.0.0 netmask 255.255.252.0 gw 192.168.16.1
в исключения фаервола добавлены порты торента, Linuxdc, 80
Проблема: с включенным фаерволом (пользуюсь GUI Firestarter) не идут пакеты в районную сеть (не пингуется шлюз), не работает торрент, диси, не видятся внутренние сайты, при этом интернет через домашнюю сеть идет нормально, как и др ресурсы домашней сети
при отключении фаервола все работает: качаются торенты и файлы через диси, появляется доступ к сайтам районной сети
Вопрос: что нужно сделать, что бы корректно работали обе сети с включенным фаерволом?
P.S. конечно, могу просто открыть подсеть так:
sudo ufw allow from 192.168.0.0, но смысл тогда будет вообще в существовании фаервола

[sciko]

Вопрос: что нужно сделать, что бы корректно работали обе сети с включенным фаерволом?

Ответ: Настроить фаерволл.
Примечание от редактора: Не можем настроиться на вас в libastral.so, поэтому вышлите голубиной почтой настройки вашего файрволла.

[budda]

здесь 49152 - порт торрента, 411 - порт dc
вот голубиный помет от iptables:

budda@desktop:~$ !273
sudo iptables -L
[sudo] password for budda:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- localhost anywhere tcp flags:!FIN,SYN,RST,ACK/SYN
ACCEPT udp -- localhost anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere limit: avg 10/sec burst 5
DROP all -- BASE-ADDRESS.MCAST.NET/8 anywhere
DROP all -- anywhere BASE-ADDRESS.MCAST.NET/8
DROP all -- 255.255.255.255 anywhere
DROP all -- anywhere 0.0.0.0
DROP all -- anywhere anywhere state INVALID
LSI all -f anywhere anywhere limit: avg 10/min burst 5
INBOUND all -- anywhere anywhere
LOG_FILTER all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Unknown Input'

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere limit: avg 10/sec burst 5
LOG_FILTER all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Unknown Forward'

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 172.16.0.2 localhost tcp dpt:domain
ACCEPT udp -- 172.16.0.2 localhost udp dpt:domain
ACCEPT all -- anywhere anywhere
DROP all -- BASE-ADDRESS.MCAST.NET/8 anywhere
DROP all -- anywhere BASE-ADDRESS.MCAST.NET/8
DROP all -- 255.255.255.255 anywhere
DROP all -- anywhere 0.0.0.0
DROP all -- anywhere anywhere state INVALID
OUTBOUND all -- anywhere anywhere
LOG_FILTER all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Unknown Output'

Chain INBOUND (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- dir-320 anywhere
ACCEPT all -- 172.16.0.4 anywhere
ACCEPT all -- 172.16.0.3 anywhere
ACCEPT all -- 172.16.0.5 anywhere
ACCEPT all -- 192.168.2.250 anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:microsoft-ds
ACCEPT udp -- anywhere anywhere udp dpt:microsoft-ds
ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-ns
ACCEPT udp -- anywhere anywhere udp dpt:netbios-ns
ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-dgm
ACCEPT udp -- anywhere anywhere udp dpt:netbios-dgm
ACCEPT tcp -- 172.16.0.0 anywhere tcp dpt:ssh
ACCEPT udp -- 172.16.0.0 anywhere udp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:49152
ACCEPT udp -- anywhere anywhere udp dpt:49152
ACCEPT tcp -- anywhere anywhere tcp dpt:411
ACCEPT udp -- anywhere anywhere udp dpt:411
ACCEPT tcp -- anywhere anywhere tcp dpt:49152
ACCEPT udp -- anywhere anywhere udp dpt:49152
LSI all -- anywhere anywhere

Chain LOG_FILTER (5 references)
target prot opt source destination

Chain LSI (2 references)
target prot opt source destination
LOG_FILTER all -- anywhere anywhere
LOG tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST
LOG icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP icmp -- anywhere anywhere icmp echo-request
LOG all -- anywhere anywhere limit: avg 5/sec burst 5 LOG level info prefix `Inbound '
DROP all -- anywhere anywhere

Chain LSO (0 references)
target prot opt source destination
LOG_FILTER all -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 5/sec burst 5 LOG level info prefix `Outbound '
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable

Chain OUTBOUND (1 references)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere

[blackdevil]

Все смешалось...кони, люди...Ubuntu firewall (ufw), Firestarter, iptables....

Может все же стоит выбрать одну тулзу для использования в качестве файрвола?

[sciko]

Так вроде

Ubuntu firewall (ufw), Firestarter

Являются GUI для iptables.

Хотя, конечно, настраивать надо в одном чём-то.

[budda]

Все смешалось...кони, люди...Ubuntu firewall (ufw), Firestarter, iptables....

Может все же стоит выбрать одну тулзу для использования в качестве файрвола?

а что смешалось?
Firestarter GUI к Ubuntu firewall (ufw), ufw надстройка над iptables
iptables -L дает подробный вывод о правилах, как я еще могу показать настройки фаервола без вывода от iptables?

[blackdevil]

GUI к ufw, если я не ошибаюсь, это gufw. А firestarter - это отдельный проект вроде бы. Я к тому, что возможна ситуация, когда одна программа затирает или меняет настройки другой. В итоге получается неразбериха. В случае с Firestarter логично было привести скрин настроек. или просто рассказать какие опции в нем выставлены.

[budda]

Правила для входящего трафика:

Правила для исходящего трафика: