>>тут действительно --dport должен быть?
>
>ну да, а как иначе локальный ДНС будет резолвить имена?
># eth1-out.
>$IPTABLES -A eth1-out -p icmp -j icmp_packets
>$IPTABLES -A eth1-out -p udp --dport 53 -j ACCEPT
>$IPTABLES -A eth1-out -p tcp -m multiport --dport 22,80,443 -j ACCEPT
>$IPTABLES -A eth1-out -m state --state RELATED,ESTABLISHED -j ACCEPT
>$IPTABLES -A eth1-out -j DROPчерез эти правила, я так понял, идут пакеты в локалку, я усомнился что там есть еще DNS и WEB сервера по этому и спросил, а ответы клиенту пойдут через правило с -m state --state RELATED,ESTABLISHED, а не через -p udp --dport 53
>
>>что-то не понятно как без --state NEW на шлюзе заработал инет
>>смотрим текущие правила iptables-save.
>>у клиентов DNS прописан? если да, то чей.
>
>а зачем в цепочке output в локальную сеть состояние NEW?
а эти правила , я так понимаю, для выхода в инет, как без NEW будет работать squid и как DNS будет слать запросы наружу я не понял.
># eth0-out.
>$IPTABLES -A eth0-out -p icmp -j icmp_packets
>$IPTABLES -A eth0-out -m state --state RELATED,ESTABLISHED -j ACCEPT
>$IPTABLES -A eth0-out -j DROP