> iptables-save -c
> покажет правила и счетчики пакетов и байт прошедших через правило, соответственно будет
> видно какие правила срабатывают.
> tcpdump -n -i eth0 или eth1
> покажет что проходит через интерфейс, соответственно смотрите есть там пакеты которые вам
> нужны или нет
> в общем уже бы показали вывод iptables-save , может кто что и подсказал конкретнейВывод iptables-save:
*mangle
:PREROUTING ACCEPT [2968388:2692407269]
:INPUT ACCEPT [1703347:1029665455]
:FORWARD ACCEPT [3551709:3027369690]
:OUTPUT ACCEPT [1640888:1049924349]
:POSTROUTING ACCEPT [2716155:1452630391]
[46763:5444642] -A PREROUTING -i eth0 -j QUEUE
[2240007:1359145177] -A PREROUTING -i eth1 -j QUEUE
[1507:305103] -A PREROUTING -i eth2 -j QUEUE
[43513:67764845] -A POSTROUTING -o eth0 -j QUEUE
[2431489:2556076277] -A POSTROUTING -o eth1 -j QUEUE
[1297:818388] -A POSTROUTING -o eth2 -j QUEUE
COMMIT
*filter
:INPUT ACCEPT [1703255:1029660203]
:FORWARD DROP [107:5527]
:OUTPUT ACCEPT [1640890:1049924475]
[0:0] -A INPUT -i eth4 -p udp -m udp --dport 67 -j REJECT --reject-with icmp-port-unreachable
[15:852] -A INPUT -i eth4 -p tcp -m tcp --dport 3128 -j REJECT --reject-with tcp-reset
[0:0] -A INPUT -i eth4 -p tcp -m tcp --dport 5347 -j REJECT --reject-with tcp-reset
[0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 5347 -j REJECT --reject-with tcp-reset
[0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 5347 -j REJECT --reject-with tcp-reset
[0:0] -A INPUT -i eth2 -p tcp -m tcp --dport 5347 -j REJECT --reject-with tcp-reset
[55:3115] -A INPUT -s 10.0.0.0/255.0.0.0 -i eth4 -j DROP
[0:0] -A INPUT -s 127.0.0.0/255.0.0.0 -i eth4 -j DROP
[0:0] -A INPUT -s 172.16.0.0/255.240.0.0 -i eth4 -j DROP
[25:1487] -A INPUT -s 192.168.0.0/255.255.0.0 -i eth4 -j DROP
[0:0] -A INPUT -s 224.0.0.0/240.0.0.0 -i eth4 -j DROP
[0:0] -A INPUT -s 240.0.0.0/248.0.0.0 -i eth4 -j DROP
[0:0] -A INPUT -s ! 192.168.0.0/255.255.255.0 -i eth0 -j DROP
[0:0] -A INPUT -s ! 192.168.1.0/255.255.255.0 -i eth1 -j DROP
[0:0] -A INPUT -s ! 192.168.2.0/255.255.255.0 -i eth2 -j DROP
[60:3360] -A FORWARD -s 10.0.0.0/255.0.0.0 -j DROP
[0:0] -A FORWARD -s 127.0.0.0/255.0.0.0 -j DROP
[0:0] -A FORWARD -s 172.16.0.0/255.240.0.0 -j DROP
[0:0] -A FORWARD -s 224.0.0.0/240.0.0.0 -j DROP
[0:0] -A FORWARD -s 240.0.0.0/248.0.0.0 -j DROP
[50:4000] -A FORWARD -d 10.0.0.0/255.0.0.0 -j DROP
[0:0] -A FORWARD -d 127.0.0.0/255.0.0.0 -j DROP
[0:0] -A FORWARD -d 172.16.0.0/255.240.0.0 -j DROP
[0:0] -A FORWARD -d 224.0.0.0/240.0.0.0 -j DROP
[0:0] -A FORWARD -d 240.0.0.0/248.0.0.0 -j DROP
[0:0] -A FORWARD -d ! mail_ip_addr -i eth0 -p tcp -m tcp --dport 25 -j DROP
[0:0] -A FORWARD -d ! mail_ip_addr -i eth1 -p tcp -m tcp --dport 25 -j DROP
[34:2144] -A FORWARD -s 192.168.0.0/255.255.0.0 -i eth4 -j DROP
[0:0] -A FORWARD -d 192.168.0.0/255.255.0.0 -o eth4 -j DROP
[0:0] -A FORWARD -s ! 192.168.0.0/255.255.255.0 -i eth0 -j DROP
[0:0] -A FORWARD -s ! 192.168.1.0/255.255.255.0 -i eth1 -j DROP
[0:0] -A FORWARD -s ! 192.168.2.0/255.255.255.0 -i eth2 -j DROP
[0:0] -A FORWARD -d 192.168.1.1 -i eth0 -j ACCEPT
[4643:765263] -A FORWARD -d 192.168.1.2 -i eth0 -j ACCEPT
[0:0] -A FORWARD -d 192.168.1.3 -i eth0 -j ACCEPT
[0:0] -A FORWARD -d 192.168.1.4 -i eth0 -j ACCEPT
[0:0] -A FORWARD -d 192.168.1.5 -i eth0 -j ACCEPT
[0:0] -A FORWARD -d 192.168.2.1 -i eth0 -j ACCEPT
[0:0] -A FORWARD -d 192.168.0.1 -i eth1 -j ACCEPT
[0:0] -A FORWARD -d 192.168.0.2 -i eth1 -j ACCEPT
[0:0] -A FORWARD -d 192.168.2.1 -i eth1 -j ACCEPT
[0:0] -A FORWARD -d 192.168.0.1 -i eth2 -j ACCEPT
[0:0] -A FORWARD -d 192.168.0.2 -i eth2 -j ACCEPT
[0:0] -A FORWARD -d 192.168.1.1 -i eth2 -j ACCEPT
[192:23339] -A FORWARD -d 192.168.1.2 -i eth2 -j ACCEPT
[0:0] -A FORWARD -d 192.168.1.3 -i eth2 -j ACCEPT
[0:0] -A FORWARD -d 192.168.1.4 -i eth2 -j ACCEPT
[0:0] -A FORWARD -d 192.168.1.5 -i eth2 -j ACCEPT
[0:0] -A FORWARD -s 192.168.0.2 -o eth1 -j ACCEPT
[0:0] -A FORWARD -s 192.168.0.2 -o eth2 -j ACCEPT
[5386:3117220] -A FORWARD -s 192.168.1.2 -o eth0 -j ACCEPT
[0:0] -A FORWARD -s 192.168.1.3 -o eth0 -j ACCEPT
[0:0] -A FORWARD -s 192.168.1.4 -o eth0 -j ACCEPT
[0:0] -A FORWARD -s 192.168.1.5 -o eth0 -j ACCEPT
[266:297191] -A FORWARD -s 192.168.1.2 -o eth2 -j ACCEPT
[0:0] -A FORWARD -s 192.168.1.3 -o eth2 -j ACCEPT
[0:0] -A FORWARD -s 192.168.1.4 -o eth2 -j ACCEPT
[0:0] -A FORWARD -s 192.168.1.5 -o eth2 -j ACCEPT
[6719:7829124] -A FORWARD -d 192.168.0.0/255.255.255.0 -i eth4 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
[1793240:1725567950] -A FORWARD -d 192.168.1.0/255.255.255.0 -i eth4 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
[518:241621] -A FORWARD -d 192.168.2.0/255.255.255.0 -i eth4 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
[4125:593653] -A FORWARD -i eth0 -o eth4 -j ACCEPT
[1735917:1288871847] -A FORWARD -i eth1 -o eth4 -j ACCEPT
[452:47451] -A FORWARD -i eth2 -o eth4 -j ACCEPT
[0:0] -A FORWARD -s 192.168.0.0/255.255.0.0 -d 192.168.0.0/255.255.255.0 -i ppp+ -o eth0 -j ACCEPT
[0:0] -A FORWARD -s 192.168.0.0/255.255.0.0 -d 192.168.1.0/255.255.255.0 -i ppp+ -o eth1 -j ACCEPT
[0:0] -A FORWARD -s 192.168.0.0/255.255.0.0 -d 192.168.2.0/255.255.255.0 -i ppp+ -o eth2 -j ACCEPT
[0:0] -A FORWARD -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.0.0 -i eth0 -o ppp+ -j ACCEPT
[0:0] -A FORWARD -s 192.168.1.0/255.255.255.0 -d 192.168.0.0/255.255.0.0 -i eth1 -o ppp+ -j ACCEPT
[0:0] -A FORWARD -s 192.168.2.0/255.255.255.0 -d 192.168.0.0/255.255.0.0 -i eth2 -o ppp+ -j ACCEPT
[0:0] -A OUTPUT -o eth4 -p tcp -m tcp --dport 5269 -j REJECT --reject-with icmp-port-unreachable
[0:0] -A OUTPUT -o eth4 -p udp -m udp --dport 5269 -j REJECT --reject-with icmp-port-unreachable
[0:0] -A OUTPUT -s ! mail_ip_addr -o eth4 -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable
COMMIT
*nat
:PREROUTING ACCEPT [238771:15467012]
:POSTROUTING ACCEPT [45797:3131974]
:OUTPUT ACCEPT [45601:3094502]
[1575:93400] -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
[22777:1095548] -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
[48:2304] -A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
#---------------------------------------------------------------------------------------
# А вот, собственно, то, что относится к видеорегистратору
[0:0] -A PREROUTING -d web_ip_addr -p tcp -m tcp --dport 5000 -j DNAT --to-destination videoreg_local_ip_addr:5000
[3:156] -A PREROUTING -d web_ip_addr -p tcp -m tcp --dport 5001 -j DNAT --to-destination videoreg_local_ip_addr:5001
#---------------------------------------------------------------------------------------
[40:2404] -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth4 -j SNAT --to-source ext_ip_addr
[96628:7021072] -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth4 -j SNAT --to-source ext_ip_addr
[37:1776] -A POSTROUTING -s 192.168.2.0/255.255.255.0 -o eth4 -j SNAT --to-source ext_ip_addr
COMMIT
web_ip_addr - внешний адрес сети. На нем также висит web-сервер.
videoreg_local_ip_addr - локальный адрес видеорегистратора.
5000 и 5001 - соотв-но AV port и Command port видеорегистратора.
Интерфейс лок.сети - eth1.
Вывод tcpdump при подключении к регистратору изнутри лок.сети:
arp who-has videoreg_local_ip_addr tell local_ip_addr
local_ip_addr - лок.адрес компа, с которого осуществляется подключение. Всё работает.
Вывод tcpdump при попытке подключения через внешний IP:
IP local_ip_addr.1835 > web_ip_addr.5001: S 2254610155:2254610155(0) win 65535 <mss 1460,nop,nop,sackOK>
IP local_ip_addr.1835 > web_ip_addr:5001: S 2254610155:2254610155(0) win 65535 <mss 1460,nop,nop,sackOK>
IP local_ip_addr.1835 > web_ip_addr.5001: S 2254610155:2254610155(0) win 65535 <mss 1460,nop,nop,sackOK>
Прошу прощения за невежество, но мб кто-нибудь подскажет что-нибудь дельное?