iptables. Не работает цепочка FORWARD

[Xumpopena]

Здравствуйте. Помогите пжлст если не в лом.

Задача такая.

ASP7.3

Ставлю iptables.

cat 1>/proc/sys/net/ipv4/ip_forward

Далее открываю все, что только возможно, чтобы из локалки можно настроить интернет, а уж затем - позакрывать все лишнее.

Привожу правила iptables:

*nat

:PREROUTING ACCEPT

:POSTROUTING ACCEPT

:OUTPUT ACCEPT

-A POSTROUTING -o eth0 -j SNAT --to-source 10.0.107.124

COMMIT

*filter

:INPUT ACCEPT

:FORWARD ACCEPT

:OUTPUT ACCEPT

-A INPUT -j LOG --log-prefix "info_input " --log-level 6

-A INPUT -j ACCEPT

-A FORWARD -j LOG --log-prefix "info_fwd " --log-level 6

-A FORWARD -j ACCEPT

-A OUTPUT -j LOG --log-prefix "info_output " --log-level 6

-A OUTPUT -j ACCEPT

COMMIT

Так вот происходит такая штука:

1. Из Линуха успешно пингую обе карточки: и для внутренней сети, и для внешней и lynx-ом выхожу в инет.

2. Изнутри сети открываю телнетом Линуховую машину и также пингую обе карты нормально; инет также доступен.

3. Изнутри сети успешно пингую Линуховую локальную карту, а вот до внешней достучаться не могу.

Исследования лога /var/log/messages показывают полное отсутствие строк вида fwd, то есть получается, что до форвардинга пакеты не доходят.

Почему такое может быть, что с ними дальше происходит? И какие еще логи надо глянуть?

[SignFinder]

а tracert что говорит?

а netstat -r на сервере?

может дело в ненастроенной маршрутизации?

можно еще iptables -P FORWARD DROP поставить

а затем уж

Цитата:

-A FORWARD -j LOG --log-prefix "info_fwd " --log-level 6 -A FORWARD -j ACCEPT

[Xumpopena]

Изнутри сети:

c:>tracert 10.0.107.124

Трассировка маршрута к 10.0.107.124 с максимальным числом прыжков 30

1 Заданный узел недоступен.

Трассировка завершена.

Из Линукса:

bash-2.05a# netstat -n -r

Kernel IP routing table

Destination Gateway Genmask Flags MSS Window irtt Iface

192.168.1.0 0.0.0.0 255.255.255.224 U 40 0 0 eth1

10.0.96.0 0.0.0.0 255.255.240.0 U 40 0 0 eth0

127.0.0.0 0.0.0.0 255.0.0.0 U 40 0 0 lo

0.0.0.0 10.0.96.1 0.0.0.0 UG 40 0 0 eth0

Цитата:

можно еще iptables -P FORWARD DROP поставить а затем уж...

Во-первых, уже пробовал, а во-вторых, действие -P FORWARD выполняется после прохождения через все правила FORWARD, а первое же правило этой цепочки гласит: запиши в лог... А в логе /var/log/messages соответствующих строк нет. Может, еще в какие-нибудь логи пишется?

[Ineu]

Посмотрите в /etc/syslog.conf, действительно ли все пишется в /var/log/messages. К примеру, у меня для loglevel 6 такие строки:

*.info -/var/log/messages

kern.=info -/var/log/kernel/info

Но это настройки по умолчанию, Mandrake10. Может быть, в ASP по другому (нет, например, первой строчки )

А все остальное (info_input, info_output) в /var/log/messages есть?

[SignFinder]

такое впечатление что не доходят пакеты.

на сервере шлюзом по умолчанию выставлен ip внешней карты?

на компах внутри сети шлюзом по умолчанию выставлен ip внутренней карты сервера?

cat /proc/sys/net/ipv4/ip_forward что показывает?

Цитата:

cat 1>/proc/sys/net/ipv4/ip_forward

еще не понял про это а если echo 1>/proc/sys/net/ipv4/ip_forward попробовать?

[Xumpopena]

Цитата:

на компах внутри сети шлюзом по умолчанию выставлен ip внутренней карты сервера?

Как ни прискорбно, но за всеми мудреными размышлениями забываешь про совершенно элементарные вещи.

Да, не подумал прописать шлюз внутри локалки.

Спасибо всем откликнувшимся.