есть такая запись
-A FORWARD -p tcp -m tcp -s 192.168.32.0/24 --dport 25 --tcp-flags SYN,ACK,RST SYN -j ACCEPT

из локалки телнет не цепляется к smtp.mail.ru

убираю --tcp-flags SYN,ACK,RST SYN, заходит

диалог tcpdump

tcpdump -ttt -i eth0 'host 192.168.xx.104 and host smtp.mail.ru ' -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
000000 IP 192.168.xxx.104.sitaraserver > 94.100.177.1.smtp: FP 2027236809:2027236810(1) ack 2265642992 win 645123.
206149 IP 94.100.177.1.smtp > 192.168.32.104.sitaradir: S 552361061:35523610
61(0) ack 2806735144 win 65535 <mss 1460,sackOK,eol>
000161 IP 192.168.xx.104.sitaradir > 94.100.177.1.smtp: . ack 1 win 64512

Ну ясно что дело в критерии проверяющим SYN. А чего его не показывает при установке соединения? :)

• Нет соединения по smtp,Andrey Mitrofanov, 09:14 , 08-Июл-10
  • Нет соединения по smtp,sacift, 19:23 , 08-Июл-10
    • Нет соединения по smtp,ze6ra, 10:15 , 09-Июл-10

>-A FORWARD -p tcp -m tcp -s 192.168.32.0/24 --dport 25 --tcp-flags

Строите спамерский ботнет? :j

>>-A FORWARD -p tcp -m tcp -s 192.168.32.0/24 --dport 25 --tcp-flags
>
>Строите спамерский ботнет? :j

А как правильно сделать? :) Подобная запись фигурирует в очень многих конфигах.

>>>-A FORWARD -p tcp -m tcp -s 192.168.32.0/24 --dport 25 --tcp-flags
>>
>>Строите спамерский ботнет? :j
>
>А как правильно сделать? :) Подобная запись фигурирует в очень многих конфигах.
>

под правило --tcp-flags SYN,ACK,RST SYN попадает только первый пакет при установке соединени по протоколу TCP, остальные пакеты идут с другой комбинацией флагов, включайте в работу модуль отслеживания состояния соединений.