>>Ну а насчет тормозов при DROP можете чего-нибудь сказать?
>возможно, ты кому-то ДНС перекрываешь...
>но точно сказать трудно, мало данных...
>надо внимательно изучать правила и смотреть каждую строчку
Спасибо за ответ, но можно я Вас еще маленько потерзаю? Дело в том, что настраивал не я, а кто-то гораздо умнее, а разбираться - мне.
Вот так оно у меня полностью выглядит:
#! /bin/bash
iptables -P INPUT ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -F account 2> /dev/null
iptables -X account 2> /dev/null
iptables -N account
iptables -A FORWARD -j account -s 192.168.0.0/16 -i eth0
iptables -A FORWARD -j account -d 192.168.0.0/16 -o eth0
iptables -A INPUT -j account -s 192.168.0.0/16 -i eth0
iptables -A OUTPUT -j account -d 192.168.0.0/16 -o eth0
>Вот здесь я нигде не нашел, что же такое -j account?
iptables -A FORWARD -j ACCEPT -s 192.168.0.0/16 -d 192.168.0.0/16
OPEN_ADDRESSES='4 10 14 40'
#OPEN_ADDRESSES='4 10 11 31 40'
for ADDR in $OPEN_ADDRESSES
do
ADDRESS='192.168.20.'$ADDR
iptables -A FORWARD -j ACCEPT -s $ADDRESS
iptables -A INPUT -j ACCEPT -s $ADDRESS
done
> Далее у меня аналогичным образом перечисляются все сети и адреса в
> них, кому разрешено инпутить и форвадерить...
iptables -A INPUT -j DROP -s 192.168.0.0/16
iptables -A FORWARD -j DROP -s 192.168.0.0/16
> Это я так понял запрещает всем, кому не разрешено
iptables -A FORWARD -j DROP -s 192.168.0.0/16 -p tcp --dport 80
iptables -A FORWARD -j DROP -s 192.168.0.0/16 -p tcp --dport 21
iptables -A FORWARD -j DROP -s 192.168.0.0/16 -p tcp --dport 21
>Это, наверно, перекрывает http и ftp
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth1 -j SNAT --to xxx.xxx.xxx.xxx
>А это, наверно, тот самый НАТ, про который Вы говорили. Насколько я
>понял, здесь происходит подмена внутренний адресов на наружный
>xxx.xxx.xxx.xxx
exit 0
Может быть эта информация сразу Вас на что-нибудь натолкнет...