где ошибка в правилах iptables

Пт Янв 4 10:27:03 GMT 2008

У меня стои ubuntu server 7.10

Настраиваю ее как прокси сервер

Задача настроить маскарадинг и обеспечить безопасность

Сам маскарадинг настроился и работает после такой команды

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

и все нормально

Начал настраивать прочие правила - создал скрипт для установки правил

#!/bin/bash

IPT=/sbin/iptables

$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -P INPUT DROP
$IPT -P FORWARD DROP

#==STATE RULES
$IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE

$IPT -A FORWARD -p tcp -j LOG
$IPT -A FORWARD -p udp -j LOG
$IPT -A FORWARD -p icmp -j LOG

$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#== LOCALCHOST

$IPT -A FORWARD -i ! lo -s 127.0.0.1 -j DROP
$IPT -A INPUT -i ! lo -s 127.0.0.1 -j DROP
$IPT -A FORWARD -i ! lo -d 127.0.0.1 -j DROP
$IPT -A INPUT -i ! lo -d 127.0.0.1 -j DROP
$IPT -A INPUT -d 127.0.0.1 -j ACCEPT
$IPT -A INPUT -s 127.0.0.1 -j ACCEPT

#== ICMP

$IPT -A INPUT -p icmp -j ACCEPT

#== SSH

$IPT -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent
--update --seconds 20 -j DROP
$IPT -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent --set
-j ACCEPT
$IPT -A INPUT -p tcp --dport 22 -j ACCEPT

#== DNS

$IPT -A INPUT -p tcp --dport 53 -j ACCEPT
$IPT -A INPUT -p udp --dport 53 -j ACCEPT

#==APACHE
$IPT -A INPUT -p tcp --dport 80 -j ACCEPT

#== SMTP

$IPT -A INPUT -p tcp --dport 25 -j ACCEPT

#== SPOP

$IPT -A INPUT -p tcp -i eth0 -m state --state NEW --dport 995 -m recent
--update --seconds 20 -j DROP
$IPT -A INPUT -p tcp -i eth0 -m state --state NEW --dport 995 -m recent
--set -j ACCEPT

но к сожелению после его запуска маскарадинг перестал работать - с сервера
на котором установлен iptables все в инет иде а с других компов сети нет.

Посоветуйте  ПОЖАЛУЙСТА - где я допустил ошибку и что еще можно добавить в
скрипт для повышения безопасности

Я запустил логирование - вот результат (примерно все такого типа - я
пробовал из локальной сети пропинговать сайт и зайти на другой сайт из
брайзера  - результата нет)
Jan  4 13:09:06 prox kernel: [12468.250866] IN=eth1 OUT=eth0 SRC=192.168.0.9DST=
213.180.204.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8
CODE=0 ID=55064 SEQ=378
Jan  4 13:09:06 prox kernel: [12468.267539] IN=eth0 OUT=eth1 SRC=
213.180.204.8 DST=192.168.0.9 LEN=84 TOS=0x00 PREC=0x20 TTL=56 ID=10742
PROTO=ICMP TYPE=0 CODE=0 ID=55064 SEQ=378

-- 
С уважением
Сергей
----------- следущая часть -----------
Вложение в формате HTML было извлечено&hellip;
URL: https://lists.ubuntu.com/archives/ubuntu-ru/attachments/20080104/64b34a52/attachment-0001.htm 