есть машина, работающая как шлюз:
ASPLinux 9.2
внутренний: eth0 192.168.1.10
внешний: eth1 1.2.3.4
на машине запущены сервисы:
ssh, dhcp, samba, mysql, httpd, ftp, squid
снаружи должен быть доступ только по ftp и ssh
скрипт конфигурации ниже - Гуру помогите подправить если что не так

######################################################################
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -N okay
iptables -A okay -p TCP --syn -j ACCEPT
iptables -A okay -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A okay -p TCP -j DROP

iptables -A INPUT -p ALL -i eth0 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p ALL -i lo -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -p ALL -i lo -s 192.168.1.10 -j ACCEPT
iptables -A INPUT -p ALL -i lo -s 1.2.3.4 -j ACCEPT
iptables -A INPUT -p ALL -i eth0 -d 192.168.1.255 -j ACCEPT

iptables -A INPUT -p ALL -d 1.2.3.4 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p TCP -i eth1 -s 0/0 --destination-port 21 -j okay
iptables -A INPUT -p TCP -i eth1 -s 0/0 --destination-port 80 -j REJECT
iptables -A INPUT -p TCP -i eth1 -s 0/0 --destination-port 137 -j REJECT

iptables -A INPUT -p TCP -i eth1 -s 0/0 --destination-port 138 -j REJECT
iptables -A INPUT -p TCP -i eth1 -s 0/0 --destination-port 139 -j REJECT
iptables -A INPUT -p TCP -i eth1 -s 0/0 --destination-port 443 -j REJECT
iptables -A INPUT -p TCP -i eth1 -s 0/0 --destination-port 445 -j REJECT
iptables -A INPUT -p TCP -i eth1 -s 0/0 --destination-port 3128 -j REJECT
iptables -A INPUT -p TCP -i eth1 -s 0/0 --destination-port 3306 -j REJECT

iptables -A INPUT -p UDP -i eth1 -s 0/0 --destination-port 137 -j REJECT
iptables -A INPUT -p UDP -i eth1 -s 0/0 --destination-port 138 -j REJECT
iptables -A INPUT -p UDP -i eth1 -s 0/0 --destination-port 139 -j REJECT
iptables -A INPUT -p UDP -i eth1 -s 0/0 --destination-port 4000 -j ACCEPT

iptables -A INPUT -p ICMP -i eth1 -s 0/0 --icmp-type 11 -j ACCEPT

iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p ALL -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -p ALL -s 192.168.1.10 -j ACCEPT
iptables -A OUTPUT -p ALL -s 1.2.3.4 -j ACCEPT

iptables -t nat -A POSTROUTING -o -eth1 -j SNAT --to-source 1.2.3.4

#######################################################################
и еще пару вопросов:
1.) если при сканировании nmapом (при включенной самбе) показывает что открыт только 139 порт, нужно ли закрывать 137 и 138????

2.) если строку iptables -t nat -A POSTROUTING -o -eth1 -j SNAT --to-source 1.2.3.4 заменить на iptables -t nat -A POSTROUTING -o -eth1 -j SNAT --to-source 1.2.3.4:3128 то весь трафик пойдет через прокси????

• помогите настроить iptables (конфиг прилагается),achist, 10:18 , 30-Дек-04
• помогите настроить iptables (конфиг прилагается),achist, 10:21 , 30-Дек-04

У тебя подход не верный! ))))))
Делай все по правилу все что не разрешено, запрещено...
Тоесть например мои правила выглядели бы так
21,22 порты принимай, еде принемаю пинги, пропускаю принги, неплохоб  было еще 53-й порт принимать, а если мне больше ничего не надо, то все остальное ДРОП! и ненадо выпендриваца и закрывать все порты по одному....

И по поводу ната..... )))))))) Ненадо весь траф пропускать через сквиду..... )))))) Достаточно 80-й порт отправить на 3128