>Правила: ... 5 строк, не считая установки политик.
>Или так, кому удобнее:
># iptables-save
Не-е-е, _удобнее_ это - ага! ;) - firehol. :) Кстати, совершенно "случайно" получится ещё и проще, и правльнее. Ну, и заработает ко всему прочему.
---8<--- firehol-ppp0-example
version 5
interface any 2me
client all accept
server "ping ssh" accept inface eth0
router 2inet outface ppp0 inface eth0 src 192.168.0.0/24
masquerade
server all accept
--->8---
... 5 %) строк, не считая пустых, version и той, "что у тебя нет". Но строки-то _короче_ :-D , читать их (да, когда научишься) проще.
Упражнение: Поставить firehol на любую доступную машину с Lin* (наличие инета и соотв.интерфейсов _не_ обязательно, из зависимостей [если # aptitude install filrehol не...] - _bash_ и "обычные" shell утилиты (coreutils+sed+awk), iptables+iproute). Изучить генерируемые firehol из приведённого выше конфига наборы правил iptables & co.
Hints:
# ( cat ./firehol-ppp0-example; echo quit ) | filrehol explain
# firehol ./firehol-ppp0-example debug
Записи результатов может способствовать ">&file.txt" или запуск команд "под" script.
Упражнение на "пять": что в моей конфигурации "не так", как в твоей? Не считая "последней строчки".
Вопрос на "зачёт автоматом и на занятия можете не ходить" (?курсовик): Опишите практические приёмы %) традиции Unix, использованные в firehol для борьбы со сложностью, и практичекие преимущества этого подхода по сравнению с традиционным "в лоб" решением проблемы, продемонстрированным автором треда - написанием/исправлением скрипта iptables "руками".
>Есть локальная сетка 192.168.0.0. Из неё с вышеприведёнными правилами нет доступа в
>наружу. Где я ошибся?
Последняя строчка (в моём конфиге, в твоём -- этого нет) добавляет энное количество разрешающих правил в чепочку FORWARD.