red hat en4 iptables

[FormaCvt]

ЗАРАБОТАЛО!!!

минимальная цель достигнута

пишу в чем была трабла

в кратце напомню структуру

eth0 - 192.168.0.111 в локалку

eth2 - по dhcp прова назначается адрес 192.168.1.4

в нее (eth2) воткнут adsl-модем настроенный как мост

к прову подключение по PPPoE

по руководству настройки соединения PPPoE скрипт adsl-setup

было написано что интерфейс в который воткнут модем

во время работы скрипта должен быть ОТКЛЮЧЕН.

вот я его и запретил стартовать при загрузке

потом начинаю работу

#ifup eth2

#ifup ppp0

но

мной было замечано что даже если не стартовать eth2

то при поключении

#ifup ppp0

я все равно с сервера хожу в инет .......

вот кусок ifconfig после #ifup ppp0

с остановленым eth2

eth0 Link encap:Ethernet

inet addr:192.168.0.111 Bcast:192.168.0.255

Mask:255.255.255.0

eth2 Link encap:Ethernet HWaddr 00:...

inet6 addr: .................... Scope:Link

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

ppp0 Link encap:Point-to-Point Protocol

inet addr:x.y.qqq.www P-t-P:x.y.ttt.ккк

Mask:255.255.255.255

UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492

Metric:1

после этого через настройка уровня безопасности

сделал доверенными ssh и eth0

вот полученый iptables после установки системы

и поднастройки уровня безопасности

# Firewall configuration written by system-config-securitylevel

# Manual customization of this file is not recommended.

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

:RH-Firewall-1-INPUT - [0:0]

-A INPUT -j RH-Firewall-1-INPUT

-A FORWARD -j RH-Firewall-1-INPUT

-A RH-Firewall-1-INPUT -i lo -j ACCEPT

-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT

-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT

-A RH-Firewall-1-INPUT -p 50 -j ACCEPT

-A RH-Firewall-1-INPUT -p 51 -j ACCEPT

-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT

-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

COMMIT

после этого ввожу с коммандной строки

#iptables -A FORWARD -j ACCEPT -s 192.168.0.1/24

#iptables -A FORWARD -j ACCEPT -d 192.168.0.1/24

#iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

#iptables -A OUTPUT -j ACCEPT -p all -d 192.168.0.1/24

#iptables -A OUTPUT -j ACCEPT -p all -d 192.168.0.23/24

и все побежало

вот iptables после того как

# Generated by iptables-save v1.2.11 on Thu Jun 15 16:35:59 2006

*nat

:PREROUTING ACCEPT [134:21009]

:POSTROUTING ACCEPT [1:60]

:OUTPUT ACCEPT [9:674]

-A POSTROUTING -o ppp0 -j MASQUERADE

COMMIT

# Completed on Thu Jun 15 16:35:59 2006

# Generated by iptables-save v1.2.11 on Thu Jun 15 16:35:59 2006

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [1759:3326869]

:RH-Firewall-1-INPUT - [0:0]

-A INPUT -j RH-Firewall-1-INPUT

-A FORWARD -j RH-Firewall-1-INPUT

-A FORWARD -s 192.168.0.0/255.255.255.0 -j ACCEPT

-A FORWARD -d 192.168.0.0/255.255.255.0 -j ACCEPT

-A OUTPUT -d 192.168.0.0/255.255.255.0 -j ACCEPT

-A RH-Firewall-1-INPUT -i lo -j ACCEPT

-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT

-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT

-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT

-A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT

-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT

-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

COMMIT

# Completed on Thu Jun 15 16:35:59 2006

а теперь вопрос?

почему eth2 не должен быть включен ( хотя если включить

то с сервера в инет хожу а маскарад пропадает )

возможно если прописать и маскарад на eth2

то тоже будет работать но это я попробую потом

а всетаки

как в данном случает работает железо при выключеном eth2

да что еще хотел спросить

как насчет продолжить обсуждение iptables

в новой теме?