Прошу пересмотреть правила iptables, на выявление ошибок и бреши в защите, просьба при выявлении ошибки помочь с решением..
eth0 [192.168.16.xx] - локалка
eth2 [192.168.15.xx] - локалка
ppp0 [82.207.xxx.xxx] - инет + реальный IP
И нужна помощь еще в реализации проброса инета в локальную сеть: чтобы внешние пользователи в броузере набирали http://82.207.xxx.xxx/site и открывался site с локального веб сервера [192.168.16.248] Я написал правила DNAT, но неуверен что правильно, если можно то помогите с решение и этой ситуации.
iptables-save прилагается...
Код: Выделить всё
[root@server ~]# iptables-save
# Generated by iptables-save v1.3.5 on Thu Sep 14 10:39:04 2006
*nat
:PREROUTING ACCEPT [6056:767050]
:POSTROUTING ACCEPT [7:539]
:OUTPUT ACCEPT [47:3747]
-A PREROUTING -d 82.207.xxx.xxx -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.16.248:80
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -d 192.168.15.0/255.255.255.0 -j SNAT --to-source 192.168.15.69
-A POSTROUTING -d 192.168.1.2 -j SNAT --to-source 192.168.1.2
-A POSTROUTING -d 192.168.16.248 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.16.1
-A OUTPUT -d 82.207.xxx.xxx -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.16.248:80
COMMIT
# Completed on Thu Sep 14 10:39:04 2006
# Generated by iptables-save v1.3.5 on Thu Sep 14 10:39:04 2006
*mangle
:PREROUTING ACCEPT [19801:2046974]
:INPUT ACCEPT [1090858:116555843]
:FORWARD ACCEPT [2984737:1750829521]
:OUTPUT ACCEPT [472:84792]
:POSTROUTING ACCEPT [3389399:1842522221]
COMMIT
# Completed on Thu Sep 14 10:39:04 2006
# Generated by iptables-save v1.3.5 on Thu Sep 14 10:39:04 2006
*filter
:INPUT DROP [849:180501]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:allowed - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -s 192.168.16.0/255.255.255.0 -i eth0 -j ACCEPT
-A INPUT -s 192.168.15.0/255.255.255.0 -i eth2 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
-A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp0 -p tcp -j tcp_packets
-A INPUT -i ppp0 -p udp -j udp_packets
-A INPUT -i ppp0 -p icmp -j icmp_packets
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -o eth0 -j ACCEPT
-A FORWARD -i eth2 -j ACCEPT
-A FORWARD -o eth2 -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -o eth1 -j ACCEPT
-A FORWARD -i ppp0 -o eth0 -p tcp -m state --state RELATED,ESTABLISHED -m tcp --dport 80 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -j bad_tcp_packets
-A OUTPUT -s 127.0.0.1 -j ACCEPT
-A OUTPUT -s 192.168.16.1 -j ACCEPT
-A OUTPUT -s 82.207.xxx.xxx -j ACCEPT
-A OUTPUT -s 192.168.1.2 -j ACCEPT
-A OUTPUT -s 192.168.15.69 -j ACCEPT
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A tcp_packets -p tcp -m tcp --dport 22 -j allowed
-A udp_packets -p udp -m udp --sport 53 -j ACCEPT
COMMIT
# Completed on Thu Sep 14 10:39:04 2006
Заранее огромное спасибо...