Проконсультируйте по NAT

Вот, что у меня в iptables стоит...

# /sbin/iptables -L -t filter Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere

Chain FORWARD (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere

Chain OUTPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere

# /sbin/iptables -L -t nat Chain PREROUTING (policy ACCEPT) target prot opt source destination

Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT) target prot opt source destination

> Укажите в примеры для постоения проходного списка для почты, веба и аськи и фтп.
Вот примерные правила:

iptables -A FORWARD -s 10.0.0.0/28 -o ethX -p tcp -m multiport --dports 25,80,5190,21,20 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/28 -o ethX -p udp -m multiport --dports 53 -j ACCEPT
iptables -A FORWARD -d 10.0.0.0/28 -i ethX -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.0.0.0/28 -o ethX -j SNAT --to-source 195.91.200.34
где ethX - internet-интерфейс шлюза (с ip 195.91.200.34)

А еще не помешало бы глянуть на результат команды "iptables -L -nvx", может по правилам вообще ничего не проходит (0 bytes) ? IP forwarding включен ?

Спасибо, все уже заработало. Правда, мне прекомендовали поставить маскарад. Это лучше или хуже? И какие приимущества/недостатки у этих двух видов?...