iptables пропускает пакеты

[dsergv]

Добрый день, коллеги!

У меня
IBM x-Series 2 ядра 1 МБ памяти
Mandriva-2007.1 kernel-2.6.17
iptables-1.4
Правила "рисую" fwbuilder-ом 3.0.3

Ситуация: есть правило, допустим

$IPTABLES -A INPUT -i eth0 -p tcp -m tcp -m multiport -d 81.хх.хх.хх --dports 25,465 -m state --state NEW -j ACCEPT

где 81.хх.хх.хх мой внешний ip, т.е. открываю в мир 25 порт (smtp).
Отброшенные пакеты смотрю logwatcher.pl и временами вижу что-нибудь типа

Feb 26 12:31:42 RULE 36 DENY eth0 TCP 83.132.181.230:2657 81.хх.хх.хх:25
Feb 26 12:31:45 RULE 36 DENY eth0 TCP 83.132.181.230:2657 81.хх.хх.хх:25
Feb 26 12:31:51 RULE 36 DENY eth0 TCP 83.132.181.230:2657 81.хх.хх.хх:25
Feb 26 12:32:03 RULE 36 DENY eth0 TCP 83.132.181.230:2657 81.хх.хх.хх:25
Feb 26 12:32:27 RULE 36 DENY eth0 TCP 83.132.181.230:2657 81.хх.хх.хх:25

Rule 36 представляет из себя

$IPTABLES -A INPUT -i eth0 -d 81..хх.хх.хх -j DROP

Смотрю /var/log/messages

Feb 26 12:32:03 gate kernel: RULE 36 - DENY IN=eth0 OUT= MAC=00:1c:f0:9e:44:e0:00:1b:0c:20:94:19:08:00 SRC=83.132.181.230 DST=81.хх.хх.хх LEN=40 TOS=0x00 PREC=0x20 TTL=108 ID=64273 PROTO=TCP SPT=2657 DPT=25 WINDOW=17424 RES=0x00 ACK FIN URGP=0
Feb 26 12:32:27 gate kernel: RULE 36 - DENY IN=eth0 OUT= MAC=00:1c:f0:9e:44:e0:00:1b:0c:20:94:19:08:00 SRC=83.132.181.230 DST=81.хх.хх.хх LEN=40 TOS=0x00 PREC=0x20 TTL=108 ID=2216 PROTO=TCP SPT=2657 DPT=25 WINDOW=17424 RES=0x00 ACK FIN URGP=0

По флагам ACK FIN клиент вроде бы пытается закрыть соединение. Почему эти пакеты iptables воспринимает как несоответствующие первому приведенному правилу. Причем это относится не ко всем пакетам, а в какой-то момент времени что-то ему не нравится. И это относится не только к этому правилу, а вообще к любому разрешающему. При все работает, почта летает, клиенты коннектятся, мои юзеры ходят в инет куда им разрешено ходить. Железо не нагружено, сеть тоже не напределе.
Кто знает в чем может быть проблема, подскажите.

[Роман Торопов]

Ситуация: есть правило, допустим

$IPTABLES -A INPUT -i eth0 -p tcp -m tcp -m multiport -d 81.хх.хх.хх --dports 25,465 -m state --state NEW -j ACCEPT

где 81.хх.хх.хх мой внешний ip, т.е. открываю в мир 25 порт (smtp).

Ну для начало смотри чё есть в вышестояших правилах.
т.е. если есть запрет выше, то просто до этого правила пофиг (не доходит).

набели команду:
iptables-save
(без ключей, без всего)
увидишь последовательность правил, которые выполняются свершу вниз последовательно.

к примеру если выше, условно:
-A INPUT -i eth0 -d 81..хх.хх.хх -j DROP
то уже похрену что нам снизу открываешь
-A INPUT -i eth0 -p tcp -m tcp -m multiport -d 81.хх.хх.хх --dports 25,465 -m state --state NEW -j ACCEPT

Для ускорение процесса находки косяка, выполни команду:
iptables-save > /usr/local/src/iptables
и полученный файл iptables выложи сюда, если шибко волнуешься, то можешь в нём отредактировать IP адреса, тока внимательно, не перепутай ни чё ...

[dsergv]

Результат iptables-save. Если надо, могу выложить скрипт, который генерит fwbuilder и который собственно и запускается

# Generated by iptables-save v1.4.1.1 on Fri Feb 27 10:28:25 2009
*raw
:PREROUTING ACCEPT [27291209:13344443996]
:OUTPUT ACCEPT [5630131:2661508095]
COMMIT
# Completed on Fri Feb 27 10:28:25 2009
# Generated by iptables-save v1.4.1.1 on Fri Feb 27 10:28:25 2009
*mangle
:PREROUTING ACCEPT [27291209:13344443996]
:INPUT ACCEPT [6393410:1924000260]
:FORWARD ACCEPT [20370407:11371419958]
:OUTPUT ACCEPT [5630131:2661508095]
:POSTROUTING ACCEPT [25983548:14032021843]
COMMIT
# Completed on Fri Feb 27 10:28:25 2009
# Generated by iptables-save v1.4.1.1 on Fri Feb 27 10:28:25 2009
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:Cid12862X12788.0 - [0:0]
:Cid12862X12788.1 - [0:0]
:Cid13876X6309.0 - [0:0]
:Cid13876X6309.1 - [0:0]
:Cid48C935538952.0 - [0:0]
:Cid48C95D0D8952.0 - [0:0]
:Cid48C95D0D8952.1 - [0:0]
:Cid48F5DC257382.0 - [0:0]
:Cid48F5DC257382.1 - [0:0]
:Cid5811X30797.0 - [0:0]
:Cid5811X30797.1 - [0:0]
:Cid8784X4444.0 - [0:0]
:Cid8784X4444.1 - [0:0]
:Cid8784X4444.2 - [0:0]
:Cid8784X4444.3 - [0:0]
:Cid9384X11186.0 - [0:0]
:Cid9398X11186.0 - [0:0]
:In_RULE_0 - [0:0]
:In_RULE_1 - [0:0]
:In_RULE_2 - [0:0]
:In_RULE_3 - [0:0]
:In_RULE_36 - [0:0]
:In_RULE_37 - [0:0]
:In_RULE_38 - [0:0]
:In_RULE_8 - [0:0]
:RULE_39 - [0:0]
-A INPUT -j ULOG --ulog-prefix "1" --ulog-cprange 48 --ulog-qthreshold 50
-A INPUT -j ULOG --ulog-prefix "1" --ulog-cprange 48 --ulog-qthreshold 50
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.6.52/32 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -d 81.xx.xx.xx/32 -i eth0 -m state --state NEW -j Cid48C935538952.0
-A INPUT -s 81.xx.xx.xx/32 -i eth0 -m state --state NEW -j In_RULE_1
-A INPUT -s 192.168.6.12/32 -i eth0 -m state --state NEW -j In_RULE_1
-A INPUT -s 172.16.16.1/32 -i eth0 -m state --state NEW -j In_RULE_1
-A INPUT -s 192.168.6.0/24 -i eth0 -m state --state NEW -j In_RULE_1
-A INPUT -s 192.168.61.0/24 -i eth0 -m state --state NEW -j In_RULE_1
-A INPUT -s 90.156.178.0/26 -i eth0 -j In_RULE_2
-A INPUT -s 213.155.158.0/24 -i eth0 -j In_RULE_2
-A INPUT -s 217.212.246.0/24 -i eth0 -j In_RULE_2
-A INPUT -s 58.65.234.17/32 -i eth0 -j In_RULE_2
-A INPUT -s 69.50.160.212/32 -i eth0 -j In_RULE_2
-A INPUT -i lo -j ACCEPT
-A INPUT -d 81.xx.xx.xx/32 -i eth0 -p tcp -m tcp -m multiport --dports 25,465 -m state --state NEW -j ACCEPT
-A INPUT -s 192.168.6.11/32 -d 192.168.6.12/32 -i eth1 -p tcp -m tcp -m multiport --dports 25,465 -m state --state NEW -j ACCEPT
-A INPUT -s 192.168.6.11/32 -i eth1 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -d 81.xx.xx.xx/32 -i eth0 -p udp -m udp --dport 1194 -m state --state NEW -j ACCEPT
-A INPUT -s 172.16.16.0/24 -d 192.168.6.0/24 -i tun0 -j ACCEPT
-A INPUT -s 192.168.6.0/24 -d 172.16.16.0/24 -i eth1 -j ACCEPT
-A INPUT -s 192.168.61.0/24 -d 192.168.6.0/24 -i tun0 -j ACCEPT
-A INPUT -s 192.168.6.52/32 -i eth1 -m state --state NEW -j ACCEPT
-A INPUT -s 192.168.6.51/32 -i eth1 -m state --state NEW -j ACCEPT
-A INPUT -s 192.168.6.53/32 -i eth1 -m state --state NEW -j ACCEPT
-A INPUT -s 192.168.6.54/32 -i eth1 -m state --state NEW -j ACCEPT
-A INPUT -s 192.168.6.55/32 -i eth1 -m state --state NEW -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp -m multiport --dports 110,995,25,465,80,443 -m state --state NEW -j Cid48C95D0D8952.0
-A INPUT -s 192.168.6.64/32 -i eth1 -p tcp -m tcp -m multiport --dports 80,443 -m state --state NEW -j ACCEPT
-A INPUT -s 192.168.6.0/24 -d 192.168.6.12/32 -i eth1 -p tcp -m tcp -m multiport --dports 53,3128,22 -m state --state NEW -j ACCEPT
-A INPUT -s 192.168.6.0/24 -d 192.168.6.12/32 -i eth1 -p udp -m udp -m multiport --dports 53,123 -m state --state NEW -j ACCEPT
-A INPUT -s 192.168.6.0/24 -i eth1 -p tcp -m tcp --dport 5190 -m state --state NEW -j ACCEPT
-A INPUT -d 81.xx.xx.xx/32 -i eth0 -j In_RULE_36
-A INPUT -d 192.168.6.12/32 -i eth1 -j In_RULE_37
-A INPUT -d 172.16.16.1/32 -i tun0 -j In_RULE_38
-A INPUT -j RULE_39
-A FORWARD -j ULOG --ulog-prefix "3" --ulog-cprange 48 --ulog-qthreshold 50
-A FORWARD -j ULOG --ulog-prefix "3" --ulog-cprange 48 --ulog-qthreshold 50
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 81.xx.xx.xx/32 -i eth0 -m state --state NEW -j In_RULE_1
-A FORWARD -s 192.168.6.12/32 -i eth0 -m state --state NEW -j In_RULE_1
-A FORWARD -s 172.16.16.1/32 -i eth0 -m state --state NEW -j In_RULE_1
-A FORWARD -s 192.168.6.0/24 -i eth0 -m state --state NEW -j In_RULE_1
-A FORWARD -s 192.168.61.0/24 -i eth0 -m state --state NEW -j In_RULE_1
-A FORWARD -s 90.156.178.0/26 -i eth0 -j In_RULE_2
-A FORWARD -s 213.155.158.0/24 -i eth0 -j In_RULE_2
-A FORWARD -s 217.212.246.0/24 -i eth0 -j In_RULE_2
-A FORWARD -s 58.65.234.17/32 -i eth0 -j In_RULE_2
-A FORWARD -s 69.50.160.212/32 -i eth0 -j In_RULE_2
-A FORWARD -d 213.155.158.0/24 -i eth1 -j In_RULE_3
-A FORWARD -d 217.212.246.0/24 -i eth1 -j In_RULE_3
-A FORWARD -d 58.65.234.17/32 -i eth1 -j In_RULE_3
-A FORWARD -d 69.50.160.212/32 -i eth1 -j In_RULE_3
-A FORWARD -d 192.168.6.7/32 -i eth0 -p tcp -m tcp -m multiport --dports 443,9091 -m state --state NEW -j ACCEPT
-A FORWARD -d 192.168.6.52/32 -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -j In_RULE_8
-A FORWARD -s 192.168.6.11/32 -i eth1 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A FORWARD -d 81.xx.xx.xx/32 -o eth0 -p udp -m udp --dport 1194 -m state --state NEW -j ACCEPT
-A FORWARD -s 172.16.16.0/24 -d 192.168.6.0/24 -i tun0 -j ACCEPT
-A FORWARD -s 172.16.16.0/24 -d 192.168.61.0/24 -o tun0 -j ACCEPT
-A FORWARD -s 192.168.6.0/24 -d 172.16.16.0/24 -i eth1 -j ACCEPT
-A FORWARD -s 192.168.61.0/24 -d 192.168.6.0/24 -i tun0 -j ACCEPT
-A FORWARD -s 192.168.6.0/24 -d 192.168.61.0/24 -i eth1 -j ACCEPT
-A FORWARD -s 192.168.6.0/24 -d 87.245.131.141/32 -i eth1 -p tcp -m tcp --dport 9091 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.6.52/32 -i eth1 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.6.51/32 -i eth1 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.6.53/32 -i eth1 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.6.54/32 -i eth1 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.6.55/32 -i eth1 -m state --state NEW -j ACCEPT
-A FORWARD -i eth1 -p tcp -m tcp -m multiport --dports 110,995,25,465,80,443 -m state --state NEW -j Cid48C95D0D8952.1
-A FORWARD -i eth1 -p tcp -m tcp -m multiport --dports 80,443 -m state --state NEW -j Cid8784X4444.0
-A FORWARD -o eth1 -p tcp -m tcp -m multiport --dports 80,443 -m state --state NEW -j Cid8784X4444.2
-A FORWARD -s 192.168.6.64/32 -i eth1 -p tcp -m tcp -m multiport --dports 80,443 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.6.64/32 -o eth1 -p tcp -m tcp -m multiport --dports 80,443 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.6.68/32 -d 62.183.40.210/32 -i eth1 -p tcp -m tcp -m multiport --dports 8494,8888 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.6.68/32 -d 62.183.40.210/32 -o eth1 -p tcp -m tcp -m multiport --dports 8494,8888 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.6.69/32 -i eth1 -p tcp -m tcp -m multiport --dports 80,443 -m state --state NEW -j Cid48F5DC257382.0
-A FORWARD -s 192.168.6.69/32 -o eth1 -p tcp -m tcp -m multiport --dports 80,443 -m state --state NEW -j Cid48F5DC257382.1
-A FORWARD -d 66.132.221.68/32 -i eth1 -p tcp -m tcp --dport 80 -m state --state NEW -j Cid12862X12788.0
-A FORWARD -d 66.132.221.68/32 -o eth1 -p tcp -m tcp --dport 80 -m state --state NEW -j Cid12862X12788.1
-A FORWARD -s 192.168.6.9/32 -i eth1 -p tcp -m tcp --sport 20 --dport 1024:65535 -m state --state NEW -j Cid5811X30797.0
-A FORWARD -s 192.168.6.9/32 -i eth1 -p tcp -m tcp --dport 21 -m state --state NEW -j Cid5811X30797.0
-A FORWARD -s 192.168.6.9/32 -o eth1 -p tcp -m tcp --sport 20 --dport 1024:65535 -m state --state NEW -j Cid5811X30797.1
-A FORWARD -s 192.168.6.9/32 -o eth1 -p tcp -m tcp --dport 21 -m state --state NEW -j Cid5811X30797.1
-A FORWARD -s 192.168.6.0/24 -d 192.168.6.12/32 -o eth1 -p tcp -m tcp -m multiport --dports 53,3128,22 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.6.0/24 -d 192.168.6.12/32 -o eth1 -p udp -m udp -m multiport --dports 53,123 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.6.0/24 -i eth1 -p tcp -m tcp --dport 5190 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.6.0/24 -o eth1 -p tcp -m tcp --dport 5190 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.6.80/32 -i eth1 -p tcp -m tcp -m multiport --dports 443,80 -m state --state NEW -j Cid13876X6309.0
-A FORWARD -s 192.168.6.80/32 -o eth1 -p tcp -m tcp -m multiport --dports 443,80 -m state --state NEW -j Cid13876X6309.1
-A FORWARD -j RULE_39
-A OUTPUT -j ULOG --ulog-prefix "2" --ulog-cprange 48 --ulog-qthreshold 50
-A OUTPUT -j ULOG --ulog-prefix "2" --ulog-cprange 48 --ulog-qthreshold 50
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -d 192.168.6.52/32 -p tcp -m tcp --sport 22 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 81.xx.xx.xx/32 -o eth0 -m state --state NEW -j Cid9384X11186.0
-A OUTPUT -s 192.168.6.12/32 -o eth1 -m state --state NEW -j Cid9398X11186.0
-A OUTPUT -d 81.xx.xx.xx/32 -o eth0 -p udp -m udp --dport 1194 -m state --state NEW -j ACCEPT
-A OUTPUT -s 172.16.16.0/24 -d 192.168.61.0/24 -o tun0 -j ACCEPT
-A OUTPUT -s 192.168.6.0/24 -d 192.168.6.12/32 -o eth1 -p tcp -m tcp -m multiport --dports 53,3128,22 -m state --state NEW -j ACCEPT
-A OUTPUT -s 192.168.6.0/24 -d 192.168.6.12/32 -o eth1 -p udp -m udp -m multiport --dports 53,123 -m state --state NEW -j ACCEPT
-A OUTPUT -s 192.168.6.0/24 -o eth1 -p tcp -m tcp --dport 5190 -m state --state NEW -j ACCEPT
-A OUTPUT -j RULE_39
-A Cid12862X12788.0 -s 192.168.6.202/32 -j ACCEPT
-A Cid12862X12788.0 -s 192.168.6.215/32 -j ACCEPT
-A Cid12862X12788.1 -s 192.168.6.202/32 -j ACCEPT
-A Cid12862X12788.1 -s 192.168.6.215/32 -j ACCEPT
-A Cid13876X6309.0 -d 194.105.131.200/32 -j ACCEPT
-A Cid13876X6309.0 -d 195.239.111.0/24 -j ACCEPT
-A Cid13876X6309.0 -d 195.68.160.0/24 -j ACCEPT
-A Cid13876X6309.0 -d 82.204.219.0/24 -j ACCEPT
-A Cid13876X6309.1 -d 194.105.131.200/32 -j ACCEPT
-A Cid13876X6309.1 -d 195.239.111.0/24 -j ACCEPT
-A Cid13876X6309.1 -d 195.68.160.0/24 -j ACCEPT
-A Cid13876X6309.1 -d 82.204.219.0/24 -j ACCEPT
-A Cid48C935538952.0 -f -j In_RULE_0
-A Cid48C935538952.0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j In_RULE_0
-A Cid48C935538952.0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j In_RULE_0
-A Cid48C95D0D8952.0 -s 192.168.6.61/32 -j ACCEPT
-A Cid48C95D0D8952.0 -s 192.168.6.62/32 -j ACCEPT
-A Cid48C95D0D8952.0 -s 192.168.6.77/32 -j ACCEPT
-A Cid48C95D0D8952.1 -s 192.168.6.61/32 -j ACCEPT
-A Cid48C95D0D8952.1 -s 192.168.6.62/32 -j ACCEPT
-A Cid48C95D0D8952.1 -s 192.168.6.77/32 -j ACCEPT
-A Cid48F5DC257382.0 -d 217.147.7.2/31 -j ACCEPT
-A Cid48F5DC257382.0 -d 217.147.7.4/30 -j ACCEPT
-A Cid48F5DC257382.0 -d 217.147.7.8/29 -j ACCEPT
-A Cid48F5DC257382.0 -d 217.147.7.16/28 -j ACCEPT
-A Cid48F5DC257382.0 -d 217.147.7.32/29 -j ACCEPT
-A Cid48F5DC257382.0 -d 217.147.7.40/30 -j ACCEPT
-A Cid48F5DC257382.1 -d 217.147.7.2/31 -j ACCEPT
-A Cid48F5DC257382.1 -d 217.147.7.4/30 -j ACCEPT
-A Cid48F5DC257382.1 -d 217.147.7.8/29 -j ACCEPT
-A Cid48F5DC257382.1 -d 217.147.7.16/28 -j ACCEPT
-A Cid48F5DC257382.1 -d 217.147.7.32/29 -j ACCEPT
-A Cid48F5DC257382.1 -d 217.147.7.40/30 -j ACCEPT
-A Cid5811X30797.0 -d 64.86.106.0/24 -j ACCEPT
-A Cid5811X30797.0 -d 67.133.239.0/24 -j ACCEPT
-A Cid5811X30797.0 -d 69.22.137.0/24 -j ACCEPT
-A Cid5811X30797.0 -d 205.117.95.0/24 -j ACCEPT
-A Cid5811X30797.1 -d 64.86.106.0/24 -j ACCEPT
-A Cid5811X30797.1 -d 67.133.239.0/24 -j ACCEPT
-A Cid5811X30797.1 -d 69.22.137.0/24 -j ACCEPT
-A Cid5811X30797.1 -d 205.117.95.0/24 -j ACCEPT
-A Cid8784X4444.0 -s 192.168.6.72/32 -j Cid8784X4444.1
-A Cid8784X4444.0 -s 192.168.6.73/32 -j Cid8784X4444.1
-A Cid8784X4444.1 -d 195.238.250.130/32 -j ACCEPT
-A Cid8784X4444.1 -d 91.198.54.39/32 -j ACCEPT
-A Cid8784X4444.2 -s 192.168.6.72/32 -j Cid8784X4444.3
-A Cid8784X4444.2 -s 192.168.6.73/32 -j Cid8784X4444.3
-A Cid8784X4444.3 -d 195.238.250.130/32 -j ACCEPT
-A Cid8784X4444.3 -d 91.198.54.39/32 -j ACCEPT
-A Cid9384X11186.0 -d 192.168.6.0/24 -j RETURN
-A Cid9384X11186.0 -d 192.168.61.0/24 -j RETURN
-A Cid9384X11186.0 -d 192.1.1.0/24 -j RETURN
-A Cid9384X11186.0 -d 192.168.254.0/24 -j RETURN
-A Cid9384X11186.0 -d 192.168.240.0/22 -j RETURN
-A Cid9384X11186.0 -j ACCEPT
-A Cid9398X11186.0 -d 192.168.6.0/24 -j ACCEPT
-A Cid9398X11186.0 -d 192.168.61.0/24 -j ACCEPT
-A Cid9398X11186.0 -d 192.1.1.0/24 -j ACCEPT
-A Cid9398X11186.0 -d 192.168.254.0/24 -j ACCEPT
-A Cid9398X11186.0 -d 192.168.240.0/22 -j ACCEPT
-A In_RULE_0 -j LOG --log-prefix "RULE 0 - DENY " --log-level 6
-A In_RULE_0 -j DROP
-A In_RULE_1 -j LOG --log-prefix "RULE 1 - DENY " --log-level 6
-A In_RULE_1 -j DROP
-A In_RULE_2 -j LOG --log-prefix "RULE 2 - DENY " --log-level 6
-A In_RULE_2 -j DROP
-A In_RULE_3 -j LOG --log-prefix "RULE 3 - DENY " --log-level 6
-A In_RULE_3 -j DROP
-A In_RULE_36 -j LOG --log-prefix "RULE 36 - DENY " --log-level 6
-A In_RULE_36 -j DROP
-A In_RULE_37 -j LOG --log-prefix "RULE 37 - DENY " --log-level 6
-A In_RULE_37 -j DROP
-A In_RULE_38 -j LOG --log-prefix "RULE 38 - DENY " --log-level 6
-A In_RULE_38 -j DROP
-A In_RULE_8 -j LOG --log-prefix "RULE 8 - ACCEPT " --log-level 6
-A In_RULE_8 -j ACCEPT
-A RULE_39 -j LOG --log-prefix "RULE 39 - DENY " --log-level 6
-A RULE_39 -j DROP
COMMIT
# Completed on Fri Feb 27 10:28:25 2009
# Generated by iptables-save v1.4.1.1 on Fri Feb 27 10:28:25 2009
*nat
:PREROUTING ACCEPT [2534107:215028703]
:POSTROUTING ACCEPT [432134:42535862]
:OUTPUT ACCEPT [233760:15986050]
-A PREROUTING -d 81.xx.xx.xx/32 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.6.7
-A PREROUTING -d 81.xx.xx.xx/32 -p tcp -m tcp --dport 9091 -j DNAT --to-destination 192.168.6.7
-A PREROUTING -d 81.xx.xx.xx/32 -p tcp -m tcp --dport 54321 -j DNAT --to-destination 192.168.6.52:22
-A POSTROUTING -s 192.168.6.0/24 -o eth0 -j SNAT --to-source 81.xx.xx.xx
COMMIT
# Completed on Fri Feb 27 10:28:25 2009

[Роман Торопов]

Ну и что мы имеем?

-A INPUT -d 81.xx.xx.xx/32 -i eth0 -m state --state NEW -j DROP
-A INPUT -s 81.xx.xx.xx/32 -i eth0 -m state --state NEW -j DROP
-A INPUT -d 81.xx.xx.xx/32 -i eth0 -p tcp -m tcp -m multiport --dports 25,465 -m state --state NEW -j ACCEPT

Теперь понятен прикол ? Ты дропаешь, то того как открываешь.

Для проверки этого косяка выполни команду, прямо вживую, в командной строке:

$IPTABLES -I INPUT -i eth0 -p tcp -m tcp -m multiport -d 81.хх.хх.хх --dports 25,465 -m state --state NEW -j ACCEPT

т.е. вместо -А, поставить -I, что кинет это правило в начало таблицы.

А вообще огромная, не нужная каша твой конфиг ...

Если надо, могу выложить скрипт, который генерит fwbuilder и который собственно и запускается

Не, не нужно.
Я привык наботать напрямую с IPTABLES, его языком, а не через комады sh

[dsergv]

Ладно, буду разбираться почему правила в таком порядке. В скрипте fwbuilder-а порядок не такой. И, в принципе то, все работает.
А то, что каша, так специфика производства. Спасибо.

[vadim007]

Ну и что мы имеем?

-A INPUT -d 81.xx.xx.xx/32 -i eth0 -m state --state NEW -j DROP
-A INPUT -s 81.xx.xx.xx/32 -i eth0 -m state --state NEW -j DROP
-A INPUT -d 81.xx.xx.xx/32 -i eth0 -p tcp -m tcp -m multiport --dports 25,465 -m state --state NEW -j ACCEPT

Теперь понятен прикол ? Ты дропаешь, то того как открываешь.

Для проверки этого косяка выполни команду, прямо вживую, в командной строке:

$IPTABLES -I INPUT -i eth0 -p tcp -m tcp -m multiport -d 81.хх.хх.хх --dports 25,465 -m state --state NEW -j ACCEPT

т.е. вместо -А, поставить -I, что кинет это правило в начало таблицы.

А вообще огромная, не нужная каша твой конфиг ...

Если надо, могу выложить скрипт, который генерит fwbuilder и который собственно и запускается

Не, не нужно.
Я привык наботать напрямую с IPTABLES, его языком, а не через комады sh

Как ты разобрался в той каше, которую он привел? Например, правило, приведенное тобой
-A INPUT -d 81.xx.xx.xx/32 -i eth0 -m state --state NEW -j DROP
у него это
-A INPUT -d 81.xx.xx.xx/32 -i eth0 -m state --state NEW -j Cid48C935538952.0
Ссылок на Cid48C935538952.0 несколько. Для меня проще разобраться в исходном наборе команд iptables, чем в выводе iptables-save.