Настройка iptables для telphin

$ip -A FORWARD -s 192.168.0.100 -d 213.170.84.96/27 -j ACCEPT

$ip -A FORWARD -d 192.168.0.100 -s 213.170.84.96/27 -j ACCEPT

За последствия не отвечаю.

Большое спасибо! Что Вы понимаете под последствиями? Что товарищи с адреса 213.170.84.96/27 будут представлять потенциальную угрозу для нашей сети?

Скорее угрозу для ip-телефона, чем для сети, а может телефон станет угрозой, ведь ему до этого почему-то только udp разрешали.

И может мои правила не помогут, если где-то до них будет DROP нужных пакетов или дело вобще не в iptables.

Вообщем немного разобрался с проблемой. Суть была не в прямом прописывании адреса провайдера, а в правилах iptables, поэтому опять прошу помощи. Что касается FORWARD, сначала идет правило 1) $ip -P FORWARD DROP далее правило 2) $ip -A INPUT -p all -i $LAN_IFACE -s $LAN_RANGE --match state --state NEW,ESTABLISHED -j ACCEPT 3) $ip -A OUTPUT -p all -o $LAN_IFACE -d $LAN_RANGE --match state --state NEW,ESTABLISHED -j ACCEPT и далее разрешающее правило на передачу голоса 4) $ip -A FORWARD -p udp -s 192.168.0.100 ! -d $LAN_RANGE -m multiport --dports 10000:20000 -j ACCEPT 5) $ip -A FORWARD -p udp -d 192.168.0.100 ! -s $LAN_RANGE -m multiport --sports 10000:20000 -j ACCEPT И вся эта красота не работает. Но если я переношу правило 4 и 5 выше правил 2 и 3 или же в 1 правиле меняю DROP на ACCEPT все начинает работать как надо. Возникает вопрос - дело в состоянии пакетов NEW,ESTABLISHED? Как нужно скорректировать правило 4 и 5, чтобы они работали корректно ниже правил 2 и 3 и с состоянием 1 правила DROP?

очень удобно простыню читать - iptables-save давай. Устроил тут выше/ниже. Общей картины не видно.

Товарищ, прошу, почитай www.linux.org.ru/help/lorcode.md и затем оформляй код/конфиг и т.п. правильно, когда вставляешь на форум.

Пардоньте.

Вообщем немного разобрался с проблемой. Суть была не в прямом прописывании адреса провайдера, а в правилах iptables, поэтому опять прошу помощи. Что касается FORWARD, сначала идет правило

$ip -P INPUT DROP
$ip -P OUTPUT DROP
$ip -P FORWARD DROP

$ip -A INPUT -p all -i $LAN_IFACE -s $LAN_RANGE --match state --state NEW,ESTABLISHED -j ACCEPT
$ip -A OUTPUT -p all -o $LAN_IFACE -d $LAN_RANGE --match state --state NEW,ESTABLISHED -j ACCEPT

и ниже разрешающее правило на передачу голоса

$ip -A FORWARD -p udp -s 192.168.0.100 ! -d $LAN_RANGE -m multiport --dports 10000:20000 -j ACCEPT
$ip -A FORWARD -p udp -d 192.168.0.100 ! -s $LAN_RANGE -m multiport --sports 10000:20000 -j ACCEPT

И вся эта красота не работает. Но если я переношу последние 2 правила вверх или же в правиле $ip -P FORWARD DROP меняю DROP на ACCEPT все начинает работать как надо. Возникает вопрос - дело в состоянии пакетов NEW,ESTABLISHED? Как нужно скорректировать правила передачи голоса, чтобы они работали корректно?

Еще раз прошу меня извинить, - iptables-save сделать не могу, так как работаю удаленно, а в офисе, где находится фаервол, инет лежит 2 день.

Так а может твои разрешающие правила неверные? Давай вместо последних двух разрешающих правил попробуй (кстати почитай про lorcode (www.linux.org.ru/help/lorcode.md) в особенности про тег [сode]):

$ip -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$ip -A FORWARD -p udp -s 192.168.0.100 -j ACCEPT

Спасибо. Завтра попробую, отпишусь.

Большое спасибо! Сработало

Пожалуйста. А ты вернул правило

$ip -P FORWARD DROP

Ага