есть сервер Mandriva Enterprise Server
на одной сетевой внешний ip
на второй локалка 192.168.0.1
как с внешнего перебосить порт 9000 на локальный 192.168.0.223
т.е. набирая в интернете внешний_ip:9000 подключиться к 192.168.0.223:9000
пробовал:
sudo iptables -t nat -A PREROUTING -p tcp --dport 9000 -d внешний_ip -j DNAT --to-destination 192.168.0.223
sudo iptables -A FORWARD -p tcp --sport 9000 -s 192.168.0.223 -j ACCEPT
> есть сервер Mandriva Enterprise Server
> на одной сетевой внешний ip
> на второй локалка 192.168.0.1
> как с внешнего перебосить порт 9000 на локальный 192.168.0.223
> т.е. набирая в интернете внешний_ip:9000 подключиться к 192.168.0.223:9000
> пробовал:
> sudo iptables -t nat -A PREROUTING -p tcp --dport 9000 -d внешний_ip
> -j DNAT --to-destination 192.168.0.223
> sudo iptables -A FORWARD -p tcp --sport 9000 -s 192.168.0.223 -j ACCEPTа в другую сторону разрешение и смотрите куда правила добавились, ибо порядок имеет значение
nat POSTROUTING, однако, забыли. :) Он же - NAT. Чтобы трафик из LAN транслировался во внешний IP.
> nat POSTROUTING, однако, забыли. :) Он же - NAT. Чтобы трафик из
> LAN транслировался во внешний IP.nat POSTROUTING нужен если есть вероятность что ответы пойдут по другому маршруту, в данном случае помоему такой вероятности нет, а обратная трансляция будет автоматом
> nat POSTROUTING нужен если есть вероятность что ответы пойдут по другому маршруту,
> в данном случае помоему такой вероятности нет, а обратная трансляция будет
> автоматомДа неужели? Если явно не задать трансляцию с LAN-адресов на WAN (белый IP, если угодно) _ Вас ожидает очень много интересного. Сети вида 192.168.0.0/16 не маршрутизируются
>> nat POSTROUTING нужен если есть вероятность что ответы пойдут по другому маршруту,
>> в данном случае помоему такой вероятности нет, а обратная трансляция будет
>> автоматом
> Да неужели? Если явно не задать трансляцию с LAN-адресов на WAN
> (белый IP, если угодно) _ Вас ожидает очень много интересного. Сети
> вида 192.168.0.0/16 не маршрутизируютсятолько это относится к выходу локалки ( например 192.168.0.0/16 ) в инет, а не к пробросу с белого ip в локалку. При пробросе snat на WAN не нужен
>> nat POSTROUTING нужен если есть вероятность что ответы пойдут по другому маршруту,
>> в данном случае помоему такой вероятности нет, а обратная трансляция будет
>> автоматом
> Да неужели? Если явно не задать трансляцию с LAN-адресов на WAN
> (белый IP, если угодно) _ Вас ожидает очень много интересного. Сети
> вида 192.168.0.0/16 не маршрутизируютсяподобные проблемы могут возникать при организацмм ДМЗ. при простом НАТе их нет.
> есть сервер Mandriva Enterprise Server
> на одной сетевой внешний ip
> на второй локалка 192.168.0.1
> как с внешнего перебосить порт 9000 на локальный 192.168.0.223
> т.е. набирая в интернете внешний_ip:9000 подключиться к 192.168.0.223:9000
> пробовал:
> sudo iptables -t nat -A PREROUTING -p tcp --dport 9000 -d внешний_ip
> -j DNAT --to-destination 192.168.0.223
> sudo iptables -A FORWARD -p tcp --sport 9000 -s 192.168.0.223 -j ACCEPT--to-destination 192.168.0.223:9000
>> есть сервер Mandriva Enterprise Server
>> на одной сетевой внешний ip
>> на второй локалка 192.168.0.1
>> как с внешнего перебосить порт 9000 на локальный 192.168.0.223
>> т.е. набирая в интернете внешний_ip:9000 подключиться к 192.168.0.223:9000
>> пробовал:
>> sudo iptables -t nat -A PREROUTING -p tcp --dport 9000 -d внешний_ip
>> -j DNAT --to-destination 192.168.0.223
>> sudo iptables -A FORWARD -p tcp --sport 9000 -s 192.168.0.223 -j ACCEPT
> --to-destination 192.168.0.223:9000нет необходимости явно задавать, если sport и dport совпадают
>[оверквотинг удален]
>>> на одной сетевой внешний ip
>>> на второй локалка 192.168.0.1
>>> как с внешнего перебосить порт 9000 на локальный 192.168.0.223
>>> т.е. набирая в интернете внешний_ip:9000 подключиться к 192.168.0.223:9000
>>> пробовал:
>>> sudo iptables -t nat -A PREROUTING -p tcp --dport 9000 -d внешний_ip
>>> -j DNAT --to-destination 192.168.0.223
>>> sudo iptables -A FORWARD -p tcp --sport 9000 -s 192.168.0.223 -j ACCEPT
>> --to-destination 192.168.0.223:9000
> нет необходимости явно задавать, если sport и dport совпадаюттогда возможно такое, глянул у себя, форвард идет к, а не из -d и --dport
> --to-destination 192.168.0.223:9000sudo iptables -t nat -A PREROUTING -p tcp --dport 9000 -d внешний_ip -j DNAT --to-destination 192.168.0.223:9000
не дает результата
и просьба довать ответы с полным примером
Привет,> sudo iptables -t nat -A PREROUTING -p tcp --dport 9000 -d внешний_ip
> -j DNAT --to-destination 192.168.0.223Эт' хорошо.
> sudo iptables -A FORWARD -p tcp --sport 9000 -s 192.168.0.223 -j ACCEPT
Эт' надо только если у вас дефолтное полиси в FORWARD отличается от ACCEPT.
А вот это не забыли?
echo "1" > /proc/sys/net/ipv4/ip_forward
WWell,
> А вот это не забыли?
> echo "1" > /proc/sys/net/ipv4/ip_forwardгде это надо прописать?
> где это надо прописать?В консоли, ;%:№"! Если глобально (чтобы не похерилось при перезагрузке), то см. /etc/sysctl.conf - там этот параметр наверняка есть - надо его в "единицу" выставить. Ну и для начала проверить cat /proc/sys/net/ipv4/ip_forward
>>cat /proc/sys/net/ipv4/ip_forwardна это выдает 1
вот что в sysctl.conf
====================================================================
# Kernel sysctl configuration file for Mandriva Linux
#
# For binary values, 0 is disabled, 1 is enabled. See sysctl(8) and
# sysctl.conf(5) for more details.# Disables IP dynaddr
net.ipv4.ip_dynaddr = 0
# Disable ECN
net.ipv4.tcp_ecn = 0
# Controls source route verification
net.ipv4.conf.default.rp_filter = 1# Do not accept source routing
net.ipv4.conf.default.accept_source_route = 0# Controls the System Request debugging functionality of the kernel
#kernel.sysrq = 0# Controls whether core dumps will append the PID to the core filename.
# Useful for debugging multi-threaded applications.
kernel.core_uses_pid = 1# If you set this variable to 1 then cd tray will close automatically when the
# cd drive is being accessed.
# Setting this to 1 is not advised when supermount is enabled
# (as it has been known to cause problems)
dev.cdrom.autoclose=1
# removed to fix some digital extraction problems
# dev.cdrom.check_media=1# to be able to eject via the device eject button (magicdev)
dev.cdrom.lock=0
net.ipv4.icmp_ignore_bogus_error_responses=0
net.ipv4.conf.all.rp_filter=1
net.ipv4.icmp_echo_ignore_broadcasts=0
net.ipv4.icmp_echo_ignore_all=0
net.ipv4.conf.all.log_martians=1
kernel.sysrq=1
====================================================================
>>>cat /proc/sys/net/ipv4/ip_forward
> на это выдает 1Значит все нормально. Раз этот параметр не выставляется в sysctl.conf - значит в каком-то другом стартующем скрипте. Например, в скрипте установки начальных правил iptables.
>>>>cat /proc/sys/net/ipv4/ip_forward
>> на это выдает 1
> Значит все нормально. Раз этот параметр не выставляется в sysctl.conf -
> значит в каком-то другом стартующем скрипте. Например, в скрипте установки начальных
> правил iptables.но переброса портов все равно нет
> но переброса портов все равно нет"Уж сколько раз твердили миру". Запускает тцпдамп на внешнем интерфейсе - слушаем, потом - на внутреннем интерфейсе, слушаем. После чего - думаем. Как вариант - маршрутизация на машине в LAN, к которой Вы пытается присодиниться.
>> но переброса портов все равно нет
> "Уж сколько раз твердили миру". Запускает тцпдамп на внешнем интерфейсе -
> слушаем, потом - на внутреннем интерфейсе, слушаем. После чего - думаем.
> Как вариант - маршрутизация на машине в LAN, к которой Вы
> пытается присодиниться.сорри а можно команду как запускать дамп
>>> но переброса портов все равно нет
>> "Уж сколько раз твердили миру". Запускает тцпдамп на внешнем интерфейсе -
>> слушаем, потом - на внутреннем интерфейсе, слушаем. После чего - думаем.
>> Как вариант - маршрутизация на машине в LAN, к которой Вы
>> пытается присодиниться.
> сорри а можно команду как запускать дампtcpdump -n -i any port 9000
и обращаетесь на внешний ip, вывод сюда. И так же iptables-save уже давно нужно было показать
> и обращаетесь на внешний ip, вывод сюда. И так же iptables-save уже
> давно нужно было показать08:22:09.132687 IP 192.168.0.5.1162 > внешний_ip.9000: S 1814991:1814991(0) win 65535 <mss 1460,nop,nop,sackOK>
08:22:09.132771 IP внешний_ip.9000 > 192.168.0.5.1162: R 0:0(0) ack 1814992 win 0
08:22:09.584812 IP 192.168.0.5.1162 > внешний_ip.9000: S 1814991:1814991(0) win 65535 <mss 1460,nop,nop,sackOK>
08:22:09.584872 IP внешний_ip.9000 > 192.168.0.5.1162: R 0:0(0) ack 1 win 0
08:22:10.131690 IP 192.168.0.5.1162 > внешний_ip.9000: S 1814991:1814991(0) win 65535 <mss 1460,nop,nop,sackOK>
08:22:10.131741 IP внешний_ip.9000 > 192.168.0.5.1162: R 0:0(0) ack 1 win 0iptables-save
# Generated by iptables-save v1.4.1.1 on Tue May 21 08:24:40 2013
*raw
:PREROUTING ACCEPT [30968193:5291718836]
:OUTPUT ACCEPT [22278252:5148751522]
COMMIT
# Completed on Tue May 21 08:24:40 2013
# Generated by iptables-save v1.4.1.1 on Tue May 21 08:24:40 2013
*nat
:PREROUTING ACCEPT [2505036:123358820]
:POSTROUTING ACCEPT [6219:490369]
:OUTPUT ACCEPT [6180:488809]
:eth0_masq - [0:0]
-A PREROUTING -d внешний_ip/32 -p tcp -m tcp --dport 9000 -j DNAT --to-destination 192.168.0.223
-A PREROUTING -d внешний_ip/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.223:8080
-A POSTROUTING -o eth0 -j eth0_masq
-A eth0_masq -s 192.168.0.0/24 -j MASQUERADE
COMMIT
# Completed on Tue May 21 08:24:40 2013
# Generated by iptables-save v1.4.1.1 on Tue May 21 08:24:40 2013
*mangle
:PREROUTING ACCEPT [30968193:5291718836]
:INPUT ACCEPT [22839434:3373888396]
:FORWARD ACCEPT [8126196:1917696066]
:OUTPUT ACCEPT [22278252:5148751522]
:POSTROUTING ACCEPT [30404960:7066585052]
:tcfor - [0:0]
:tcout - [0:0]
:tcpost - [0:0]
:tcpre - [0:0]
-A PREROUTING -j tcpre
-A FORWARD -j tcfor
-A OUTPUT -j tcout
-A POSTROUTING -j tcpost
COMMIT
# Completed on Tue May 21 08:24:40 2013
# Generated by iptables-save v1.4.1.1 on Tue May 21 08:24:40 2013
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:Drop - [0:0]
:Ifw - [0:0]
:Reject - [0:0]
:all2fw - [0:0]
:all2loc - [0:0]
:all2net - [0:0]
:dropBcast - [0:0]
:dropInvalid - [0:0]
:dropNotSyn - [0:0]
:dynamic - [0:0]
:eth0_fwd - [0:0]
:eth0_in - [0:0]
:eth0_out - [0:0]
:eth1_fwd - [0:0]
:eth1_in - [0:0]
:eth1_out - [0:0]
:fw2all - [0:0]
:fw2loc - [0:0]
:fw2net - [0:0]
:loc2all - [0:0]
:loc2fw - [0:0]
:loc2net - [0:0]
:logdrop - [0:0]
:logreject - [0:0]
:net2fw - [0:0]
:net2loc - [0:0]
:reject - [0:0]
:shorewall - [0:0]
:smurfs - [0:0]
-A INPUT -j Ifw
-A INPUT -i eth0 -j eth0_in
-A INPUT -i eth1 -j eth1_in
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j Reject
-A INPUT -j LOG --log-prefix "Shorewall:INPUT:REJECT:" --log-level 6
-A INPUT -j reject
-A FORWARD -i eth0 -j eth0_fwd
-A FORWARD -i eth1 -j eth1_fwd
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j Reject
-A FORWARD -j LOG --log-prefix "Shorewall:FORWARD:REJECT:" --log-level 6
-A FORWARD -j reject
-A FORWARD -s 192.168.0.223/32 -p tcp -m tcp --sport 9000 -j ACCEPT
-A FORWARD -s 192.168.0.223/32 -p tcp -m tcp --sport 8080 -j ACCEPT
-A OUTPUT -o eth0 -j eth0_out
-A OUTPUT -o eth1 -j eth1_out
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j Reject
-A OUTPUT -j LOG --log-prefix "Shorewall:OUTPUT:REJECT:" --log-level 6
-A OUTPUT -j reject
-A Drop -p tcp -m tcp --dport 113 -j reject
-A Drop -j dropBcast
-A Drop -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
-A Drop -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A Drop -j dropInvalid
-A Drop -p udp -m multiport --dports 135,445 -j DROP
-A Drop -p udp -m udp --dport 137:139 -j DROP
-A Drop -p udp -m udp --sport 137 --dport 1024:65535 -j DROP
-A Drop -p tcp -m multiport --dports 135,139,445 -j DROP
-A Drop -p udp -m udp --dport 1900 -j DROP
-A Drop -p tcp -j dropNotSyn
-A Drop -p udp -m udp --sport 53 -j DROP
-A Ifw -m set --set ifw_wl src -j RETURN
-A Ifw -m set --set ifw_bl src -j DROP
-A Ifw -m state --state INVALID,NEW -m psd --psd-weight-threshold 10 --psd-delay-threshold 10000 --psd-lo-ports-weight 2 --psd-hi-ports-weight 1 -j IFWLOG --log-prefix "SCAN"
-A Ifw -p udp -m state --state NEW -m udp --dport 53 -j IFWLOG --log-prefix "NEW"
-A Ifw -p udp -m state --state NEW -m udp --dport 137 -j IFWLOG --log-prefix "NEW"
-A Ifw -p udp -m state --state NEW -m udp --dport 138 -j IFWLOG --log-prefix "NEW"
-A Ifw -p udp -m state --state NEW -m udp --dport 139 -j IFWLOG --log-prefix "NEW"
-A Ifw -p udp -m state --state NEW -m udp --dport 445 -j IFWLOG --log-prefix "NEW"
-A Ifw -p udp -m state --state NEW -m multiport --dports 1024:1100 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 80 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 443 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 53 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 22 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 20 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 21 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 25 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 109 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 110 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 143 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 137 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 138 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 139 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 445 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m multiport --dports 1024:1100 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 8080 -j IFWLOG --log-prefix "NEW"
-A Reject -p tcp -m tcp --dport 113 -j reject
-A Reject -j dropBcast
-A Reject -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
-A Reject -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A Reject -j dropInvalid
-A Reject -p udp -m multiport --dports 135,445 -j reject
-A Reject -p udp -m udp --dport 137:139 -j reject
-A Reject -p udp -m udp --sport 137 --dport 1024:65535 -j reject
-A Reject -p tcp -m multiport --dports 135,139,445 -j reject
-A Reject -p udp -m udp --dport 1900 -j DROP
-A Reject -p tcp -j dropNotSyn
-A Reject -p udp -m udp --sport 53 -j DROP
-A all2fw -m state --state RELATED,ESTABLISHED -j ACCEPT
-A all2fw -j Reject
-A all2fw -j LOG --log-prefix "Shorewall:all2fw:REJECT:" --log-level 6
-A all2fw -j reject
-A all2loc -m state --state RELATED,ESTABLISHED -j ACCEPT
-A all2loc -j Reject
-A all2loc -j LOG --log-prefix "Shorewall:all2loc:REJECT:" --log-level 6
-A all2loc -j reject
-A all2net -m state --state RELATED,ESTABLISHED -j ACCEPT
-A all2net -j Reject
-A all2net -j LOG --log-prefix "Shorewall:all2net:REJECT:" --log-level 6
-A all2net -j reject
-A dropBcast -m addrtype --dst-type BROADCAST -j DROP
-A dropBcast -d 224.0.0.0/4 -j DROP
-A dropInvalid -m state --state INVALID -j DROP
-A dropNotSyn -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A eth0_fwd -m state --state INVALID,NEW -j dynamic
-A eth0_fwd -o eth1 -j net2loc
-A eth0_in -m state --state INVALID,NEW -j dynamic
-A eth0_in -j net2fw
-A eth0_out -j fw2net
-A eth1_fwd -m state --state INVALID,NEW -j dynamic
-A eth1_fwd -o eth0 -j loc2net
-A eth1_in -m state --state INVALID,NEW -j dynamic
-A eth1_in -j loc2fw
-A eth1_out -j fw2loc
-A fw2all -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fw2all -j Reject
-A fw2all -j LOG --log-prefix "Shorewall:fw2all:REJECT:" --log-level 6
-A fw2all -j reject
-A fw2loc -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fw2loc -j ACCEPT
-A fw2net -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fw2net -j ACCEPT
-A loc2all -m state --state RELATED,ESTABLISHED -j ACCEPT
-A loc2all -j Reject
-A loc2all -j LOG --log-prefix "Shorewall:loc2all:REJECT:" --log-level 6
-A loc2all -j reject
-A loc2fw -m state --state RELATED,ESTABLISHED -j ACCEPT
-A loc2fw -j ACCEPT
-A loc2net -m state --state RELATED,ESTABLISHED -j ACCEPT
-A loc2net -j ACCEPT
-A logdrop -j DROP
-A logreject -j reject
-A net2fw -m state --state RELATED,ESTABLISHED -j ACCEPT
-A net2fw -p udp -m multiport --dports 53,137,138,139,445,8080,1024:1100 -j ACCEPT
-A net2fw -p tcp -m multiport --dports 80,443,53,22,20,21,25,109,110,143,137,138,139,445 -j ACCEPT
-A net2fw -p tcp -m multiport --dports 1024:1100,8080 -j ACCEPT
-A net2fw -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A net2fw -j Drop
-A net2fw -j LOG --log-prefix "Shorewall:net2fw:DROP:" --log-level 6
-A net2fw -j DROP
-A net2loc -m state --state RELATED,ESTABLISHED -j ACCEPT
-A net2loc -j Drop
-A net2loc -j LOG --log-prefix "Shorewall:net2loc:DROP:" --log-level 6
-A net2loc -j DROP
-A reject -m addrtype --src-type BROADCAST -j DROP
-A reject -s 224.0.0.0/4 -j DROP
-A reject -p igmp -j DROP
-A reject -p tcp -j REJECT --reject-with tcp-reset
-A reject -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject -p icmp -j REJECT --reject-with icmp-host-unreachable
-A reject -j REJECT --reject-with icmp-host-prohibited
-A smurfs -s 0.0.0.0/32 -j RETURN
-A smurfs -m addrtype --src-type BROADCAST -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
-A smurfs -m addrtype --src-type BROADCAST -j DROP
-A smurfs -s 224.0.0.0/4 -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
-A smurfs -s 224.0.0.0/4 -j DROP
COMMIT
# Completed on Tue May 21 08:24:40 2013
>[оверквотинг удален]
> -A INPUT -j LOG --log-prefix "Shorewall:INPUT:REJECT:" --log-level 6
> -A INPUT -j reject
> -A FORWARD -i eth0 -j eth0_fwd
> -A FORWARD -i eth1 -j eth1_fwd
> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A FORWARD -j Reject
> -A FORWARD -j LOG --log-prefix "Shorewall:FORWARD:REJECT:" --log-level 6
> -A FORWARD -j reject
> -A FORWARD -s 192.168.0.223/32 -p tcp -m tcp --sport 9000 -j ACCEPT
> -A FORWARD -s 192.168.0.223/32 -p tcp -m tcp --sport 8080 -j ACCEPTправила после -j reject уже не будут срабатывать, поднимите в начало FORWARD.
в сторону 192.168.0.223 тоже нужно разрешать.
да и проверяете из той же подсети , а при этом есть свои нюансы, читайте пояснения в https://www.opennet.ru/docs/RUS/iptables/#DNATTARGET
>[оверквотинг удален]
> -A reject -p icmp -j REJECT --reject-with icmp-host-unreachable
> -A reject -j REJECT --reject-with icmp-host-prohibited
> -A smurfs -s 0.0.0.0/32 -j RETURN
> -A smurfs -m addrtype --src-type BROADCAST -j LOG --log-prefix "Shorewall:smurfs:DROP:"
> --log-level 6
> -A smurfs -m addrtype --src-type BROADCAST -j DROP
> -A smurfs -s 224.0.0.0/4 -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
> -A smurfs -s 224.0.0.0/4 -j DROP
> COMMIT
> # Completed on Tue May 21 08:24:40 2013
>[оверквотинг удален]
>> -A reject -p icmp -j REJECT --reject-with icmp-host-unreachable
>> -A reject -j REJECT --reject-with icmp-host-prohibited
>> -A smurfs -s 0.0.0.0/32 -j RETURN
>> -A smurfs -m addrtype --src-type BROADCAST -j LOG --log-prefix "Shorewall:smurfs:DROP:"
>> --log-level 6
>> -A smurfs -m addrtype --src-type BROADCAST -j DROP
>> -A smurfs -s 224.0.0.0/4 -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
>> -A smurfs -s 224.0.0.0/4 -j DROP
>> COMMIT
>> # Completed on Tue May 21 08:24:40 2013странно нет файла /etc/sysconfig/iptables
где могут прятаться настройки?
>[оверквотинг удален]
>>> -A smurfs -s 0.0.0.0/32 -j RETURN
>>> -A smurfs -m addrtype --src-type BROADCAST -j LOG --log-prefix "Shorewall:smurfs:DROP:"
>>> --log-level 6
>>> -A smurfs -m addrtype --src-type BROADCAST -j DROP
>>> -A smurfs -s 224.0.0.0/4 -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
>>> -A smurfs -s 224.0.0.0/4 -j DROP
>>> COMMIT
>>> # Completed on Tue May 21 08:24:40 2013
> странно нет файла /etc/sysconfig/iptables
> где могут прятаться настройки?у Вас правила генерит Shorewall, iptables-save > /etc/sysconfig/iptables , Shorewall отключите , а iptables включите , почистите /etc/sysconfig/iptables от хлама и изучайте iptables
> сорри а можно команду как запускать дампВам бы матчасть поучить, любезнейший, прежде, чем серьезными делами заниматься.
>> сорри а можно команду как запускать дамп
> Вам бы матчасть поучить, любезнейший, прежде, чем серьезными делами заниматься.а кто вам сказал что это серьезное дело? это хобби любезнейший
> а кто вам сказал что это серьезное дело? это хобби любезнейшийХобби должно начинаться с чтения документации и освоения команды man.
>> а кто вам сказал что это серьезное дело? это хобби любезнейший
> Хобби должно начинаться с чтения документации и освоения команды man.я очень вам благодарен за технические ответы
но тыкать мне на учебники глупо
вы же заходите на форумы с темой вам не близкой и если каждый раз вам будут тыкать типа почитай мануал или закон - то у вас возникнет вопрос а на кой тогда форум?!
вот на хрена мне читать мануалы?! мне надо настроить и выкинуть из головы эту информацию (у меня ее своей хватает)
> вот на хрена мне читать мануалы?! мне надо настроить и выкинуть из
> головы эту информацию (у меня ее своей хватает)Ясно. Удачи. Клинический случай.
>>> а кто вам сказал что это серьезное дело? это хобби любезнейший
>> Хобби должно начинаться с чтения документации и освоения команды man.
> я очень вам благодарен за технические ответы
> но тыкать мне на учебники глупо
> вы же заходите на форумы с темой вам не близкой и если
> каждый раз вам будут тыкать типа почитай мануал или закон -
> то у вас возникнет вопрос а на кой тогда форум?!
> вот на хрена мне читать мануалы?! мне надо настроить и выкинуть из
> головы эту информацию (у меня ее своей хватает)пора уже привыкнуть, что в мире linux картинка примерно такая - http://i.piccy.info/i7/a45804dd6a832c0369b6854a6c7dd38a/4-59...
>>> а кто вам сказал что это серьезное дело? это хобби любезнейший
>> Хобби должно начинаться с чтения документации и освоения команды man.
> я очень вам благодарен за технические ответы
> но тыкать мне на учебники глупо
> вы же заходите на форумы с темой вам не близкой и если
> каждый раз вам будут тыкать типа почитай мануал или закон -
> то у вас возникнет вопрос а на кой тогда форум?!
> вот на хрена мне читать мануалы?! мне надо настроить и выкинуть из
> головы эту информацию (у меня ее своей хватает)Не Обижайтесь. Это технический форум и знание обсуждаемого предмета здесь ставится в первую очередь. Хобби - это хорошо, но тыкать Вам на учебники будут. Если интересно - читайте их (я бы даже посоветовал спросить про книги рекомендуемые для чтения в соотвествующем форуме программирование/итд).