Приветствую всех!Имеется шлюз, конфиг таков:
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t mangle -F PREROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -I FORWARD 1 -m state --state RELATED,ESTABLISHED -j ACCEPTiptables -I FORWARD 1 -m mac --mac-source 00:11:22:33:44:55 -s 10.20.1.1 -j ACCEPT
iptables -I FORWARD 1 -m mac --mac-source 00:11:22:33:44:56 -s 10.20.1.2 -j ACCEPT
и т.д.как Вы видите, у нас есть авторизация по IP и MAC.
Хотим открыть бесплатный доступ пользователям на аську, даже если у абонента нет доступа к Интернету: (login.icq.net)
iptables -I FORWARD 1 -d 178.237.17.180 -j ACCEPT
iptables -I FORWARD 1 -d 178.237.17.175 -j ACCEPT
iptables -I FORWARD 1 -d 178.237.19.180 -j ACCEPT
iptables -I FORWARD 1 -d 178.237.19.175 -j ACCEPTПравила срабатывают, пинг идет, но аська не подключается, тоже самое происходит и с сайтами которые имеют несколько ип адресов.
Сайты с одним ип адресом открываются безупречно.
самое интересное, что раньше все работало, теперь перестало, и рабочие остались только те сайты где один ип адрес, но при этом все же пинги идут, доступ открывается.
Используйте снифер, чтобы посмотреть куда реально стучится клиет (icq), не факт что только на эти адреса.
Скорее всего там при авторизации еще куда-нить бросает, и даже когда вычислите и добавите эти адреса в разрешенные, не факт что это будет работать вечно.
> Используйте снифер, чтобы посмотреть куда реально стучится клиет (icq), не факт что
> только на эти адреса.
> Скорее всего там при авторизации еще куда-нить бросает, и даже когда вычислите
> и добавите эти адреса в разрешенные, не факт что это будет
> работать вечно.вы оказались правы, сделал прозвон по порту tcpdump, и увидел, что идет обращение к еще одну ip адресу.
Спасибо большое!
Проблема решена.