>>>>[оверквотинг удален]
>>> в nat, все что выше уберайте, оставте одну строку которая ниже, при
>>> условии что 192.180.1.3 - это внешний ip
>> ip действительно внешний, но других правил просто нет в файле, были закомментированые,
>> но после их удаления, ничего не изменилось (впрочем, потому, что не
>> должно было измениться). Может есть еще какие стандартные конфиги iptables, где
>> могли быть прописаны данные правила?
> какой дистрибутив?
> если перегружали правила, давайте снова вывод iptables-save, если вывод не изменился, то
> удаляйте их из памяти ручками

дистрибутив ОС Russian Fedora 14 (NY), версия iptables 1.4.9. ничего не изменяется после перегрузки правил. Очистка таблиц нат не производилась.
добавил iptables -F -t nat

после чего получил такое:

iptables-save
# Generated by iptables-save v1.4.9 on Mon Apr  4 14:41:18 2011
*nat
:PREROUTING ACCEPT [112670:4971871]
:OUTPUT ACCEPT [12:720]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth1 -j SNAT --to-source 192.180.1.3
COMMIT
# Completed on Mon Apr  4 14:41:18 2011
# Generated by iptables-save v1.4.9 on Mon Apr  4 14:41:18 2011
*mangle
:PREROUTING ACCEPT [117707:8564751]
:INPUT ACCEPT [117461:8548088]
:FORWARD ACCEPT [238:12948]
:OUTPUT ACCEPT [5585:3597488]
:POSTROUTING ACCEPT [5529:3592578]
COMMIT
# Completed on Mon Apr  4 14:41:18 2011
# Generated by iptables-save v1.4.9 on Mon Apr  4 14:41:18 2011
*filter
:INPUT DROP [112408:4957584]
:FORWARD DROP [238:12948]
:OUTPUT DROP [56:4910]
-A INPUT -s 127.0.0.1/32 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 6667:6669 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 5190 -j ACCEPT
-A FORWARD -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 3128 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -o eth1 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -j ACCEPT
-A OUTPUT -o eth1 -p udp -j ACCEPT
-A OUTPUT -o eth1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
COMMIT
# Completed on Mon Apr  4 14:41:18 2011

эффект тот же

>[оверквотинг удален]
> -A OUTPUT -o eth0 -p tcp -m tcp --sport 3128 -j ACCEPT
> -A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -j ACCEPT
> -A OUTPUT -o eth0 -p tcp -m tcp --sport 80 -j ACCEPT
> -A OUTPUT -o eth1 -p udp -m udp --dport 53 -j ACCEPT
> -A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT
> -A OUTPUT -o eth1 -p tcp -j ACCEPT
> -A OUTPUT -o eth1 -p udp -j ACCEPT
> -A OUTPUT -o eth1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
> COMMIT
> # Completed on Mon Apr  4 14:41:18 2011

у Fedora файл для правил - /etc/sysconfig/iptables, может отсутствовать, правила загружаются - service iptables start или restart, формат файла такой же как и вывод iptables-save

> эффект тот же

с эти правилами должно уже работать.
шлюз и dns у клиентов прописаны?

>>[оверквотинг удален]
> у Fedora файл для правил - /etc/sysconfig/iptables, может отсутствовать, правила загружаются
> - service iptables start или restart, формат файла такой же как
> и вывод iptables-save
>> эффект тот же
> с эти правилами должно уже работать.
> шлюз и dns у клиентов прописаны?

Файл присутствует, в нем ровно то же, что и в iptables-save с теми же таймштампами. В файле присутствуют команды сохранения правил и перезапуска iptables (service iptables save; service iptables restart).

Шлюз прописан верный, инет и другие сервисы через squid работают из под рабочий станций как виндовых (XP/Vista/7), так и никсовых (та же fedora 14).  DNS прописано 2 штуки, primary - gate, secondary - контроллер домена для виндомашин. Для никсовых - только адрес шлюза.

>[оверквотинг удален]
>>> эффект тот же
>> с эти правилами должно уже работать.
>> шлюз и dns у клиентов прописаны?
> Файл присутствует, в нем ровно то же, что и в iptables-save с
> теми же таймштампами. В файле присутствуют команды сохранения правил и перезапуска
> iptables (service iptables save; service iptables restart).
> Шлюз прописан верный, инет и другие сервисы через squid работают из под
> рабочий станций как виндовых (XP/Vista/7), так и никсовых (та же fedora
> 14).  DNS прописано 2 штуки, primary - gate, secondary -
> контроллер домена для виндомашин. Для никсовых - только адрес шлюза.

для того что работает через прокси dns не нужен, и шлюз, если прокси в той же подсети, не нужн.
nslookup opennet.ru с клиента.

cat /proc/sys/net/ipv4/ip_forward
ifconfig

>>[оверквотинг удален]
> для того что работает через прокси dns не нужен, и шлюз, если
> прокси в той же подсети, не нужн.
> nslookup opennet.ru с клиента.
> cat /proc/sys/net/ipv4/ip_forward
> ifconfig

из Windows-машины:
C:\Users\user>nslookup opennet.ru
DNS request timed out.
    timeout was 2 seconds.
╤хЁтхЁ:  UnKnown
Address:  192.168.2.10

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnown

C:\Users\user>nslookup opennet.ru
DNS request timed out.
    timeout was 2 seconds.
╤хЁтхЁ:  UnKnown
Address:  208.67.222.222

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnown

из Fedora для обоих dns-серверов:
nslookup opennet.ru
;; connection timed out; no servers could be reached

[root@userpc ~]# cat /proc/sys/net/ipv4/ip_forward
1
[root@userpc ~]# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:C0:CE:14:73:C9
          inet addr:192.168.1.111  Bcast:192.168.255.255  Mask:255.255.0.0
          inet6 addr: fe80::2c0:caff:fe13:7ac8/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7191262 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3115372 errors:4 dropped:0 overruns:0 carrier:6
          collisions:0 txqueuelen:1000
          RX bytes:680707926 (649.1 MiB)  TX bytes:2649585261 (2.4 GiB)
          Interrupt:11 Base address:0x2000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

попробовал добавить следующие правила:
-A FORWARD -p upd -i eth1 --dport 53 -j ACCEPT
-A FORWARD -p upd -i eth0 --dport 53 -j ACCEPT

Но не помогло... то, что с пробросом dns проблемы, это я вроде понимаю. Есть еще подозрение, что какие-то из локальных процессов могут перехватывать данные порты, но как это отследить, так и не сумел найти. Хотя dns-сервер не пытался настраивать, не говоря уже о почте.

>[оверквотинг удален]
>           RX packets:0
> errors:0 dropped:0 overruns:0 frame:0
>           TX packets:0
> errors:0 dropped:0 overruns:0 carrier:0
>           collisions:0 txqueuelen:0
>           RX bytes:0
> (0.0 b)  TX bytes:0 (0.0 b)
> попробовал добавить следующие правила:
> -A FORWARD -p upd -i eth1 --dport 53 -j ACCEPT
> -A FORWARD -p upd -i eth0 --dport 53 -j ACCEPT

протокол udp и ответные пакеты вы не разрешили.

> Но не помогло... то, что с пробросом dns проблемы, это я вроде
> понимаю. Есть еще подозрение, что какие-то из локальных процессов могут перехватывать
> данные порты, но как это отследить, так и не сумел найти.
> Хотя dns-сервер не пытался настраивать, не говоря уже о почте.

локальные на шлюзе? это только если вы их сами с помощью iptables завернете, а так демоны просто ждут обращение на адрес:порт и ничего сами не захватывают.

>>[оверквотинг удален]
>> -A FORWARD -p upd -i eth1 --dport 53 -j ACCEPT
>> -A FORWARD -p upd -i eth0 --dport 53 -j ACCEPT
> протокол udp и ответные пакеты вы не разрешили.

добавил на исходящие (в данной ситуации dport/sport значения ведь не имеет?):
-A FORWARD -p upd -o eth1 --dport 53 -j ACCEPT
-A FORWARD -p upd -o eth0 --dport 53 -j ACCEPT

И что значит "протокол udp вы не разрешили"? Получается, что на данный момент работают только порты, на которых висят локальные службы ssh, apache, squid. Все, что ни пытаюсь форвардить, теряется в бездне.

>>>[оверквотинг удален]
>>> -A FORWARD -p upd -i eth1 --dport 53 -j ACCEPT
>>> -A FORWARD -p upd -i eth0 --dport 53 -j ACCEPT
>> протокол udp и ответные пакеты вы не разрешили.
> добавил на исходящие (в данной ситуации dport/sport значения ведь не имеет?):

имеет, запрос отправляется на 53 порт , но не с 53, а ответ будет идти с 53 , но не на 53
> -A FORWARD -p upd -o eth1 --dport 53 -j ACCEPT
> -A FORWARD -p upd -o eth0 --dport 53 -j ACCEPT
> И что значит "протокол udp вы не разрешили"? Получается, что на данный
> момент работают только порты, на которых висят локальные службы ssh, apache,
> squid. Все, что ни пытаюсь форвардить, теряется в бездне.

именно то что написано.

протокол udp, а не upd.
вы разрешили запрос к dns серверам в инете, если протокол правильно укажите
-A FORWARD -p upd -o eth1 --dport 53 -j ACCEPT
а ответы от них?

-A FORWARD -p upd -o eth0 --dport 53 -j ACCEPT
под это правило ответы не попадут

что типа этого должно быть:
-A FORWARD -p udp -i eth1 --sport 53 -j ACCEPT

> -A FORWARD -p upd -o eth1 --dport 53 -j ACCEPT

-A FORWARD -p upd -o eth1 --sport 53 -j ACCEPT

> -A FORWARD -p upd -o eth0 --dport 53 -j ACCEPT

>> -A FORWARD -p upd -o eth1 --dport 53 -j ACCEPT
> -A FORWARD -p upd -o eth1 --sport 53 -j ACCEPT
>> -A FORWARD -p upd -o eth0 --dport 53 -j ACCEPT

eth1 - это вроде внешний интерфейс и upd - хорошо смотрится :)

>> -A FORWARD -p upd -o eth1 --sport 53 -j ACCEPT
> eth1 - это вроде внешний интерфейс и upd - хорошо смотрится :)

Бр!... Вздымает очи небу, заламывает пальчы, руки, ноги, со стонами уползает.

...со стонами возвращается, изрыгает:

# cat users-dns.firehol.conf
version 5

MY_INET_IP=219.219.219.219

snat to "$MY_INET_IP" outface eth1

router x inface eth0 outface eth1
        client dns accept

# firehol users-dns.firehol.conf debug |./explain-sorter
-N out_x_dns_c1
-A out_x_dns_c1 -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
-A out_x_dns_c1 -p tcp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
-N in_x_dns_c1
-A in_x_dns_c1 -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
-A in_x_dns_c1 -p tcp --sport 53 -m state --state ESTABLISHED -j ACCEPT
-N out_x
-A out_x -j out_x_dns_c1
-A out_x -m state --state RELATED -j ACCEPT
-N in_x
-A in_x -j in_x_dns_c1
-A in_x -m state --state RELATED -j ACCEPT
-A OUTPUT -m state --state RELATED -j ACCEPT
-A OUTPUT -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix='OUT-unknown:'
-A OUTPUT -j DROP
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix='IN-unknown:'
-A INPUT -j DROP
-A FORWARD -i eth0 -o eth1 -j in_x
-A FORWARD -i eth1 -o eth0 -j out_x
-A FORWARD -m state --state RELATED -j ACCEPT
-A FORWARD -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix='PASS-unknown:'
-A FORWARD -j DROP
-t nat -N nat.1
-t nat -A POSTROUTING -o eth1 -j nat.1
-t nat -A nat.1 -j SNAT --to-source 219.219.219.219
# exit

Невнятно мычит, рвёт на себе, уходит.

> eth1 - это вроде внешний интерфейс и upd - хорошо смотрится :)

upd это очепятка здешняя, при применении правил такая ошибка бы вылезла при запуске исполняемого файла. Помучался немного, теперь все работает. Всем спасибо! Особенно за пост №20, где расписано, как ходит пакет, очень наглядно вышло.

Решение получилось следующим.

Для DNS теперь правила следующие:
-A FORWARD -p udp -i eth0 --dport 53 -j ACCEPT
-A FORWARD -p udp -o eth1 --dport 53 -j ACCEPT
-A FORWARD -p udp -i eth1 --sport 53 -j ACCEPT
-A FORWARD -p udp -o eth0 --sport 53 -j ACCEPT
-t nat -A POSTROUTING -p tcp -o eth1 --dport 53 -j SNAT --to-source 192.180.1.3 (внешний ифейс)

аналогично сделал для 110 и 25 портов(только протокол tcp!), теперь почта радует своих юзеров. Собственно, аналогично для любого другого сервиса в обход squid'a правила делаются по данному шаблону. Пишу это для тех, кто однажды может оказаться в такой же ситуации. Не забываем убирать из настроек программ проксю, иначе не будет работать :)

>[оверквотинг удален]
> запуске исполняемого файла. Помучался немного, теперь все работает. Всем спасибо! Особенно
> за пост №20, где расписано, как ходит пакет, очень наглядно вышло.
> Решение получилось следующим.
> Для DNS теперь правила следующие:
> -A FORWARD -p udp -i eth0 --dport 53 -j ACCEPT
> -A FORWARD -p udp -o eth1 --dport 53 -j ACCEPT
> -A FORWARD -p udp -i eth1 --sport 53 -j ACCEPT
> -A FORWARD -p udp -o eth0 --sport 53 -j ACCEPT
> -t nat -A POSTROUTING -p tcp -o eth1 --dport 53 -j SNAT
> --to-source 192.180.1.3 (внешний ифейс)

для тех кто окажется в такой же ситуации в nat протокол все таки udp, но в целом в snat указывать много критерий плохая идея потому что на человеческом языке это звучит как : делать snat только для указанных пакетов, остальные пропустить без нат. в результате то что не было заблокировано в таблице фильтров и для чего не было сделано snat пойдут к провайдеру с серыми адресами, что не хорошо. лучше натить весь выход с интерфейса, а что не должно выходить резать в таблице фильтров.

-t nat -A POSTROUTING -o eth1 -j SNAT --to-source 192.180.1.3 (внешний ифейс)

> аналогично сделал для 110 и 25 портов(только протокол tcp!), теперь почта радует
> своих юзеров. Собственно, аналогично для любого другого сервиса в обход squid'a
> правила делаются по данному шаблону. Пишу это для тех, кто однажды
> может оказаться в такой же ситуации. Не забываем убирать из настроек
> программ проксю, иначе не будет работать :)

http://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi?az=sh...

> Шлюз прописан верный, инет и другие сервисы через squid работают из под
> рабочий станций как виндовых (XP/Vista/7), так и никсовых (та же fedora
> 14).  DNS прописано 2 штуки, primary - gate, secondary -
> контроллер домена для виндомашин. Для никсовых - только адрес шлюза.

DNS-сервера должны обладать идентичными знаниями обо всех используемых зонах.
В вашем случае я предполагаю, что "контроллер домена для виндомашин" не знает о доменных зонах интернета, а gate не знает о зонах "контроллера домена для виндомашин". Рекомендую оставить один "контроллер домена для виндомашин", предварительно научив его резольвить имена интернета.

Обучить gate всем зонам "контроллера домена для виндомашин" несколько сложнее.