Главная » Форум » Gentoo Linux » Системное администрирование

Непонятки с iptables

LinAdmin 17 июня, 2006 - 00:01

Товарищи! Не подскажете начинающему админу с iptables?
Короче, я поставил и настроил генту, зтем установил на ней шлюз выхода в инет. Всё вродебы работает, на других компах инет есть. Но в сети есть один чел который всё время выходит через комерческий прокси (за деньги), зачем он это делает - его проблемы, но он всё время жалуется на то, что после подключения примерно через час у него соединение с прокси слетает. При повторном подключении выдаёт ошибку о том буд-то порт закрыт. Но при этом инет работает. После перезапуска iptables или перезагрузки шлюза проблема исчезает... Но так же на время. Как мне это исправить?
При установке шлюза использовал следующие правила (защита нулевая):
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT (даже пошёл на такое-эффект тот же)
iptables -t nat -A POSTROUTING -s 192.168.64.3 -o ppp0 -j MASQUERADE
iptables -A FORWARD -s 192.168.64.3 -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
где 192.168.64.3 это его IP, а 192.168.64.1 это мой (шлюза)
Так же жалуется на то что zion (p2p-клиент) не качает, только чат работает. С качалками та же шняга, но только они работают через раз, скачка возможна только через браузер. В чём тут может быть проблема?

‹ Как жестко задать скорость? Настройка squid ›
»

у меня работает так

Автор kiev1, дата создания 18 июня, 2006 - 02:08.

в твоем случае очень похоже что где-то еще трафик жмется - у меня было под фрей когда после ната трафик жал - то он "подмерзал" так-же.

у меня работает так:

iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
export LAN=eth0
export WAN=eth1
iptables -I INPUT 1 -i ${LAN} -j ACCEPT
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -I FORWARD -i ${LAN} -d 192.168.0.0/255.255.255.0 -j DROP
iptables -A FORWARD -i ${LAN} -s 192.168.0.0/255.255.255.0 -j ACCEPT

iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE
iptables -t nat -I PREROUTING -p tcp --dport 7200 -i ${WAN} -j DNAT --to 192.168.0.182:80

только другая непонятность - проброс порта внутренней машины 192.168.0.182 наружу работает - а вот если взять другую машину 192.168.0.183 - не работает - при коннекте виснет - машины совершенно одинаковые и железо и винда.. даже не придумаю что-б это могло быть ... если взять утилитку datapipe - то при проброске та-же картина, при чем когда было под фрей - то наоборот другие ip виделись.

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".