Значица так, стоит шлюз ( Mandrake 10 ). Поднят NATz следующим скриптом:#!/bin/sh IPTABLES=/sbin/iptables DEPMOD=/sbin/depmod MODPROBE=/sbin/modprobe
EXTIF="eth0" INTIF="eth1"
$DEPMOD -a
$MODPROBE ip_tables
$MODPROBE ip_conntrack
$MODPROBE ip_conntrack_ftp
$MODPROBE ip_conntrack_irc
$MODPROBE iptable_nat
$MODPROBE ip_nat_ftp
$MODPROBE ip_nat_irc
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
$IPTABLES -P INPUT ACCEPT
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -t nat -F
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED, RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
$IPTABLES -A FORWARD -j LOG
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
echo -e "done.\n"При таком раскладе весь трафик маскарадится из инета в ЛВС.
А нужно, чтобы ходило все окромя HTTP. Подскажите каким образом это можно реализовать?
>$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED, RELATED
>-j ACCEPTА вот сюда добавить строчку типа
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -p tcp -dport 80 -j REJECT>$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
>$IPTABLES -A FORWARD -j LOG
>$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
>echo -e "done.\n"Уточни на всякий случай формат ключей...
А вообще-то правила не лучшие - нужно input закрыть всем, кроме своих... и еще много чего
>А вообще-то правила не лучшие - нужно input закрыть всем, кроме своих...
>и еще много чегоВ таком случае, можно ссылочку на документацию IPTABLES....желательно русскоязычную.
>В таком случае, можно ссылочку на документацию IPTABLES....желательно русскоязычную.
Здесь же... В разделе "Документация" есть ссылка на русскоязычный перевод "Iptables Tutorial" - фундаментальнейшая вещь. Скрипты оттуда использовать не стоит - все строится компактней, как в твоем скрипте, но там полностью расписаны все ключи, действия, порядок прохождения пакетов, что нужно открывать и что не стоит