Iptables или враг не пройдёт и друг тоже

[orion55]

Здравствуйте

Есть общая сеть организации(10.72.128.0/21) и есть сеть бухгалтерии(10.72.101.0/25). Это 2 физически разные сети. Между ними стоит маршрутеризатор на базе Alt Linux Server 4 c 2 интерфейсами 10.72.143.166 и 10.72.101.126 между ними настроена машрутеризация. Пакеты ходят из одной сети в другую без проблем.
Однако надо сделать так, чтобы из общей сети организации был запрещен доступ к сети бухгалтерии, а бухгалтерия ходила в общую сеть организации только строго на определенные сервера (Гарант(10.72.143.198), антивирус, и т.д.). Для этого производиться настройка iptables следующим скриптом

#!/bin/bash
IPTABLES -F
IPTABLES -t nat -F
IPTABLES -t mangle -F
IPTABLES -X
IPTABLES -t nat -X
IPTABLES -t mangle –X

IPTABLES -P INPUT DROP
IPTABLES -P FORWARD DROP
IPTABLES -P OUTPUT ACCEPT

IPTABLES -A INPUT -i lo -j ACCEPT
IPTABLES -A OUTPUT -o lo -j ACCEPT
IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

IPTABLES -A INPUT -s 10.72.143.198 -j ACCEPT

После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я совершил ошибку?

[Const]

Рекомендовал бы физически разделить.
Если есть общий сервер (что всё-одно небезопасно), рекомендовал бы на этом сервере поднять два интерфейса, для каждой подсетки.

[Andrey]

После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я совершил ошибку?

IPTABLES -P FORWARD DROP

Прописывайте теперь разрешающие правила в этой цепочке.

[orion55]

Всем спасибо!

Прекрасно работает следующий скрипт

iptables -F
iptables -X

iptables -P FORWARD ACCEPT
iptables -P OUTPUT  ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -s 10.72.101.0/25 -d 10.72.143.198/32 -j ACCEPT
iptables -A FORWARD -s 10.72.143.198/32 -d 10.72.101.0/25 -j ACCEPT
iptables -A FORWARD -j DROP

Тема закрыта.