что в этом файле неверно, даже если делаю любой порт DROP всё равно телнетом или сканером портов видно что SYN ACK приходит и соединение устанавливается, только с чем??? DROP 80 порт апача уже не видно но телнет соединяется с портом, почему так? вообще мне надо для локальной машины на вход запретить всё кроме разрешённых портов, НО это шлюз у правляемый биллингом, для пользователей в процессе работы добавляется SNAT на второй интерфейс компа (eth0 там у меня adsl модем) для ната нужно форвардить ВСЁ кроме портов сети мелкософта (чтобы мсбласт и сассер траф не гнал соим сканом) Вот то что сейчас... 192,168,3,254 это внутренний ip машины *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] ###################### SASSER AND MSBLAST KILLER ################### -A PREROUTING -d ! 192.168.3.254 -p tcp --dport 135 -j DROP -A PREROUTING -d ! 192.168.3.254 -p tcp --dport 136 -j DROP -A PREROUTING -d ! 192.168.3.254 -p tcp --dport 137 -j DROP -A PREROUTING -d ! 192.168.3.254 -p tcp --dport 138 -j DROP -A PREROUTING -d ! 192.168.3.254 -p tcp --dport 139 -j DROP -A PREROUTING -d ! 192.168.3.254 -p tcp --dport 445 -j DROP #################################################################### COMMIT *mangle :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT *filter :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] :INPUT ACCEPT [0:0] -A INPUT -p tcp --dport 135 -j ACCEPT -A INPUT -p tcp --dport 136 -j ACCEPT -A INPUT -p tcp --dport 137 -j ACCEPT -A INPUT -p tcp --dport 138 -j ACCEPT -A INPUT -p tcp --dport 139 -j ACCEPT -A INPUT -p tcp --dport 445 -j ACCEPT -A INPUT -p udp --dport 123 -j ACCEPT -A INPUT -p tcp --dport 5222 -j ACCEPT -A INPUT -p tcp --dport 5555 -j ACCEPT -A INPUT -p udp --dport 5555 -j ACCEPT -A INPUT -p tcp --dport 8767 -j ACCEPT -A INPUT -p tcp --dport 14534 -j ACCEPT -A INPUT -p tcp --dport 22 -j ACCEPT -A INPUT -p tcp --dport 80 -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -j REJECT -A INPUT -p udp -j ACCEPT COMMIT