https://opennet.dev/openforum/vsluhforumID1/78272.html Добрый день. Подскажите пожалуйста, есть два интерфейса eth0 - в локальную сеть, eth1 - в интернет. Делаю правило для отбрасавания пакетов из внешнего мира:<br>-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP --dports 22,111,110,113,10000,3306,3128,514,587,631,953,143,10025,443,1723<br>правильно ли я делаю?<br><br>И второй вопрос, хочу разрешить хождение траффика по порту 5190, вот правило<br>-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j ACCEPT --dports 25,53,20,21,5190<br>-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j ACCEPT --dports 25,53,20,21,5190<br>правильно ли оно?<br>Заранее спасибо<br> https://opennet.dev/openforum/vsluhforumID1/78272.html#5 Fri, 18 Jan 2008 16:21:53 GMT &gt;&gt;Цепочка PREROUTING не используется для фильтрации. Ее назначение совсем другое. Прочитайте руководство. <br>&gt;Еще одна классическая ошибка новичков - пытаться сделать роутер с ip_forward=0 :) <br><br>Как следствие старой, как мир, ошибки - сначала делать, потом не получать ожидаемого, потом спрашивать, потом читать. Вместо - читать, потом делать, потом получать результат.<br> https://opennet.dev/openforum/vsluhforumID1/78272.html#4 Fri, 18 Jan 2008 13:14:30 GMT &gt;[оверквотинг удален]<br>&gt;если нужно разрешить хождение пакетов из внутр. сети наружу на порты 20,21,5190 <br>&gt;. <br>&gt;Либо: <br>&gt;iptables -A FORWARD -p tcp -o eth1 -m multiport --dport 20,21,5190 -j <br>&gt;ACCEPT <br>&gt;iptables -A FORWARD -p tcp -i eth1 -m state --state ESTABLISHED,RELATED -j <br>&gt;ACCEPT <br>&gt;iptables -A FORWARD -j DROP <br>&gt;Цепочка PREROUTING не используется для фильтрации. Ее назначение совсем другое. Прочитайте руководство. <br>&gt;<br><br>Еще одна классическая ошибка новичков - пытаться сделать роутер с ip_forward=0 :)<br> https://opennet.dev/openforum/vsluhforumID1/78272.html#3 Wed, 16 Jan 2008 13:13:16 GMT &gt;[оверквотинг удален]<br>&gt;-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP <br>&gt;--dports 139,12345,443,445,20034,27374,31337 <br>&gt;-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j DROP <br>&gt;--dports 22,113,111,10000,3306,3128,514,587,631,953,143,443,1723 <br>&gt;-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j DROP <br>&gt;--dports 445,139,12345,20034,27374,31337 <br>&gt;-A PREROUTING -p tcp -m tcp -i ppp0 --dport 10000:65535 -j DROP <br>&gt;<br>&gt;COMMIT <br>&gt;# Completed <br><br>Не очень понятно, что Вы вообще хотите получить. Вы пишите про два интерфейса eth0 и eth1, между тем в конфиге iptables у Вас почему-то указан ppp0.<br>Еще раз настоятельно Вам рекомендую внимательно прочитать руководство. Глядя на Ваш конфиг, я понимаю, что у Вас полная каша в голове. Критиковать Ваш конфиг не имеет смысла.<br>Схема настройки может быть, например, такой:<br>iptables -P FORWARD DROP<br>iptables -A FORWARD -p tcp -o eth1 -m multiport --dport 20,21,5190 -j ACCEPT<br>iptables -A FORWARD -p tcp -i eth1 -m multiport --sport 20,21,5190 -j ACCEPT,<br>если нуж https://opennet.dev/openforum/vsluhforumID1/78272.html#2 Wed, 16 Jan 2008 11:21:43 GMT Вот листинг iptable, подскажите пожалуста что я указал не так, потому что у меня не проходит ничего по портам 5190,20,21<br><br># Generated by iptables-save v1.2.11 on Thu Mar 29 08:58:56 2007<br>*nat<br>:PREROUTING ACCEPT [0:0]<br>:OUTPUT ACCEPT [0:0]<br>:POSTROUTING ACCEPT [0:0]<br>-A PREROUTING -s 192.168.0.0/24 -i eth0 -j ACCEPT<br>-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j ACCEPT --dports 25,53,20,21,5190,443<br>-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j ACCEPT --dports 25,53,20,21,5190,443<br>-A PREROUTING -p tcp -m tcp -s 10.0.0.0/255.255.255.0 --dport 80 -j REDIRECT --to-ports 3128-3128<br>-A PREROUTING -s 10.0.0.0/255.255.255.0 -j ACCEPT<br>-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP --dports 22,443,1723,111,110,113,10000,3306,3128,514,587,631,953,143,10025<br>-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP --dports 22,443,1723,111,110,113,10000,3306,3128,514,587,631,953,143,445<br>-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP --dports 139,3128,12345,20034,27374,31337<br>-A PRERO https://opennet.dev/openforum/vsluhforumID1/78272.html#1 Wed, 16 Jan 2008 10:19:14 GMT &gt;[оверквотинг удален]<br>&gt;правильно ли я делаю? <br>&gt;<br>&gt;И второй вопрос, хочу разрешить хождение траффика по порту 5190, вот правило <br>&gt;<br>&gt;-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j ACCEPT <br>&gt;--dports 25,53,20,21,5190 <br>&gt;-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j ACCEPT <br>&gt;--dports 25,53,20,21,5190 <br>&gt;правильно ли оно? <br>&gt;Заранее спасибо <br><br>Не очень понятно: зачем Вы это делаете в цепочке PREROUTING. Такие вещи, по-моему, надо делать в цепочке FORWARD. Разрешаете все что надо, а остальное сбрасывается политикой по умолчанию, либо последним правилом с -j DROP. Прочитайте внимательно руководство по iptables. Там все очень доходчиво написано.<br>