как использовать nat для записи правил iptables?

[black_13]

Не вижу Default Policy :(
Все эти правила, как вы видите, не работают  :D По ним не прошло/заблочилось ни одного пакета :) И количество одинаковых поражает :)
P.S. - Все они одинаково бесполезны

[DiX]

efw default start
Interface is "default"
Table is "filter"
Chain is ""
Action is "start"

Firewall type is "iptables"
Starting iptables for default
        Setting ACCEPT policy for the "INPUT" chain in the "filter" table
        Setting ACCEPT policy for the "FORWARD" chain in the "filter" table
        Setting ACCEPT policy for the "OUTPUT" chain in the "filter" table
        Creating the "stdfwd" chain in the "filter" table
        Creating the "stdin" chain in the "filter" table
        Creating the "stdout" chain in the "filter" table
        Loading rules for the "INPUT" chain in the "filter" table..
        Loading rules for the "FORWARD" chain in the "filter" table.
        Loading rules for the "OUTPUT" chain in the "filter" table
        Loading rules for the "stdin" chain in the "filter" table...
        Loading rules for the "stdfwd" chain in the "filter" table
        Loading rules for the "stdout" chain in the "filter" table

вот запуск iptables. где косяк?

[MisHel64]

с правилами разобрался (на начальном уровне).

Не верю. Вы даже до конца не дочитали.

с правилами разобрался (на начальном уровне).
лог так и не нашел. /etc/syslog.conf не содержит хоть какой нибудь информации о fw или iptables,

Все он содержит, если дочитать документацию.

/var/log тоже ничего подходящего (тем более пресловутой 12-й страницы). в каком то логе увидел, как iptables грузится - уже плюс

На 12м экране.

[DiX]

Не вижу Default Policy :(
Все эти правила, как вы видите, не работают  :D По ним не прошло/заблочилось ни одного пакета :) И количество одинаковых поражает :)
P.S. - Все они одинаково бесполезны

пробовал менять Default Policy - вообще сеть заблокировал drop-ом
убрал "лишние" правила (они были в stdin вбиты), вот такую картину поимел.
iptables -L -v -n
Chain INPUT (policy ACCEPT 15 packets, 720 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 LOG        tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x13/0x02 LOG flags 2 level 7
    0     0 REJECT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x13/0x02 reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       tcp  --  *      eth1    0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 26 packets, 3398 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain stdfwd (0 references)
 pkts bytes target     prot opt in     out     source               destination

Chain stdin (0 references)
 pkts bytes target     prot opt in     out     source               destination

Chain stdout (0 references)
 pkts bytes target     prot opt in     out     source               destination

[black_13]

Понимания так и не вижу. Пожалуйста, почитайте доки по iptables и очень внимательно поглядите на картинку которая демонстрирует работу iptables с ее цепочками и тд. Мне стало гораздо проще понимать принцип работы после несколькоминутного втыкания в вышеупомянутую картинку  :D

[DiX]

Понимания так и не вижу. Пожалуйста, почитайте доки по iptables и очень внимательно поглядите на картинку которая демонстрирует работу iptables с ее цепочками и тд. Мне стало гораздо проще понимать принцип работы после несколькоминутного втыкания в вышеупомянутую картинку  :D

а указать ошибку религия не позволяет?

[MisHel64]

а указать ошибку религия не позволяет?

Вам уже указали на ошибку, причем не однократно.

В инпут пакеты пришли. Под ваши правила не попали. В чем вопрос?

[DiX]

как сделать, чтобы под правила попали?

[black_13]

4) Не только дропить входящие пакеты, но и отправлять в лог их. Тогда увидите на 12м экране.

Нужно только для отладки. После отладки и парумесячной нормальной работы - лишняя никому ненужная инфа (ибо мусор)

как сделать, чтобы под правила попали?

Честно вам скажу ... я очень долго втыкал в iptables. Как я только не пытался его понять ... и справа и слева смотрел все эти доки. И сверху и сбоку их читал. И ночью они мне снились. Но есть картинка (кажися видал клевую на википедии) которая чудесно все демонстрирует. В нее просто вникнуть надо. Ну и конечно надо чуть понимать что куда и как ходит В ПРИНЦИПЕ. Сложно мне было вникнуть в iptables - ибо был уже некоторый опыт работы с ipfw и pf - по сравнению с ними iptables - ночной кошмар :)

[MisHel64]

как сделать, чтобы под правила попали?

1) Изучить документацию.
2) На русском языке описать правила.
3) Перевести правила на язык команд iptables.