From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <43CA7DE9.20308@upline.net.ua> Date: Sun, 15 Jan 2006 18:52:57 +0200 From: Sergey Paradeyev User-Agent: Mozilla Thunderbird 1.0 (Windows/20041206) X-Accept-Language: ru-ru, ru MIME-Version: 1.0 To: ALT Linux Community Subject: Re: [Comm] iptables, NAT References: <43CA77DD.4070608@geodigital.ru> In-Reply-To: <43CA77DD.4070608@geodigital.ru> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit X-BeenThere: community@lists.altlinux.org X-Mailman-Version: 2.1.5 Precedence: list Reply-To: psv@upline.net.ua, ALT Linux Community List-Id: ALT Linux Community List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 15 Jan 2006 16:53:11 -0000 Archived-At: List-Archive: List-Post: Jury Levykin пишет: > Шлюз в интернет (на основе ALM 2.4), > на нем настроен NAT следующим образом: > iptables -t nat -A POSTROUTING -s $INTRANET --out-interface > $EXTERNAL_INTERFACE \ > -j SNAT --to-source $IPADDR > > проблема в том, что если при старте скрипта я сначала все запрещаю: > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > > а потом открываю то, что нужно (например NAT) то пакеты из внутренней > сети ($INTRANET) > не проходят через шлюз. > > если закомментировать: > # iptables -P FORWARD DROP > > все работает, но меня смущает, что я видимо не прав поступая таким > образом. > > Как правильно открыть доступ для локальной сети? Все правильно делаешь, только надо еще разрешить $INTRANET ходить сквозь шлюз, через цепочку FORWARD iptables -A FORWARD -s $ITRANET -j ACCEPT iptables -A FORWARD -d $ITRANET -j ACCEPT