OpenForum RSS: iptables и маршрутизация https://www.opennet.ru/openforum/vsluhforumID10/3881.html Правила:<br>iptables -P INPUT DROP<br>iptables -P FORWARD DROP<br>iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT<br>iptables -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT<br>iptables -A INPUT -p tcp --dport 22 -i ath0 -j ACCEPT<br>iptables -A INPUT -p icmp -j ACCEPT<br>iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE<br><br>Или так, кому удобнее:<br># iptables-save <br># Generated by iptables-save v1.4.0 on Thu Jul 10 00:15:38 2008<br>*nat<br>:PREROUTING ACCEPT [108:15604]<br>:POSTROUTING ACCEPT [28:2106]<br>:OUTPUT ACCEPT [256:16348]<br>-A POSTROUTING -o ppp0 -j MASQUERADE <br>COMMIT<br># Completed on Thu Jul 10 00:15:38 2008<br># Generated by iptables-save v1.4.0 on Thu Jul 10 00:15:38 2008<br>*filter<br>:INPUT DROP [83:14158]<br>:FORWARD DROP [20:1186]<br>:OUTPUT ACCEPT [1735:198782]<br>-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT <br>-A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT <br>-A INPUT -i ath0 -p tcp -m tcp --dport 22 -j ACCEPT <br>-A INPUT -p icmp -j ACCEPT <br>COMMIT<br><br>Есть локальная сетка 192.168.0.0 а где про маршрутизацию?? %)) (Andrey Mitrofanov) https://www.opennet.ru/openforum/vsluhforumID10/3881.html#2 Fri, 11 Jul 2008 08:03:55 GMT &gt;Правила: <br><br>... 5 строк, не считая установки политик.<br><br>&gt;Или так, кому удобнее: <br>&gt;# iptables-save <br><br>Не-е-е, _удобнее_ это - ага! ;) - firehol. :) Кстати, совершенно "случайно" получится ещё и проще, и правльнее. Ну, и заработает ко всему прочему.<br><br>---8&lt;--- firehol-ppp0-example<br>version 5<br><br>interface any 2me<br> client all accept<br> server "ping ssh" accept inface eth0<br><br>router 2inet outface ppp0 inface eth0 src 192.168.0.0/24<br> masquerade<br> server all accept<br>---&gt;8---<br><br>... 5 %) строк, не считая пустых, version и той, "что у тебя нет". Но строки-то _короче_ :-D , читать их (да, когда научишься) проще.<br><br>Упражнение: Поставить firehol на любую доступную машину с Lin* (наличие инета и соотв.интерфейсов _не_ обязательно, из зависимостей [если # aptitude install filrehol не...] - _bash_ и "обычные" shell утилиты (coreutils+sed+awk), iptables+iproute). Изучить генерируемые firehol из приведённого выше конфига наборы правил iptables & co.<br><br>Hints:<br># ( cat ./firehol-ppp0-example; echo quit ) &#124; filre iptables и маршрутизация (angra) https://www.opennet.ru/openforum/vsluhforumID10/3881.html#1 Thu, 10 Jul 2008 00:41:35 GMT Здесь:<br>&gt;iptables -P FORWARD DROP<br><br>Транзитные пакеты не проходят через INPUT/OUTPUT, для них FORWARD<br><br>