где ошибка в правилах iptables

Сб Янв 5 09:29:29 GMT 2008

Доброго дня

В Сбт, 05/01/2008 в 11:40 +0300, sergicus s пишет:
> Большое спасибо за ответ

рекомендуется к прочтению :-)
http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html#TRAVERSINGOFTABLES

>         
>         Плохо смотрел
>         
>         $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> 
> кажется вы правы
> 

Все поскипаетм и рассмотрим цепочку FORWARD

<skip>

> $IPT -P FORWARD DROP #по умолчанию все транзитные пакеты запрещены

<skip>

> 
> #FORWARD
> 
> $IPT -A FORWARD -m state --state INVALID -j DROP  
> $IPT -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Ниже лишнее, т.к. такое не может быть

> $IPT -A FORWARD -i ! lo -s 127.0.0.1 -j DROP 
> $IPT -A FORWARD -i ! lo -d 127.0.0.1 -j DROP
> 

> Как вы видете я разрешил исходящие (это пока) все и добавил в 
> $IPT -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
> слово NEW 
> 
> и все начало работать.

Добавление NEW здесь эквивалентно 

$IPT -P FORWARD ACCEPT, т.е никакой фильтрации не происходит.

> 
> Сейчас буду колупать дальше (и думать) Заранее благодарен за советы
> 

Советы: ;-)
- прочитать документ (и глянуть другие на том же сайте).

- уяснить, что
а) транзитный трафик мы фильтруем в цепочке FORWARD и работает с
реальными интерфейсами (eth+, ppp+, tun+).
б) локальный (для этого хоста) мы фильтруем в цепочках INPUT и OUTPUT и 
интерфейсы у нас реальные и плюс _lo_.

-- 
С уважением, Семен.