ping a traceroute skrze gateway

[Zdeněk Sejček]

Zdravím.

Prosím nějakou dobrou duši, aby mi pomohla s nastavením ipchains.
Potřebuju, aby se dalo z ip 192.168.1.40 z vnitřní sítě(192.168.1.0)
pingnout(trace také...) web na jakýkoliv server. Z brány mi to jde, ale
ze sítě připojené k netu přes tuto bránu to již nelze.
Přikládám můj ipchains soubor, ať je to snažší.
Za každé nakopnutí díky ...

Zdeněk Sejček

IPCHAINS=/sbin/ipchains
LOCAL=192.168.1.0/24
PROXY=195.47.118.10
MAIL=192.168.1.1
GW=$PROXY
echo 1 > /proc/sys/net/ipv4/ip_forward

/sbin/insmod ip_masq_ftp
/sbin/insmod ip_masq_icq
/sbin/insmod ip_masq_raudio

# zruseni starych pravidel

#$IPCHAINS -D forward 1
$IPCHAINS -F
$IPCHAINS -X

# vytvoreni novych pravidel

$IPCHAINS -N lan-out
$IPCHAINS -N out-lan
$IPCHAINS -N gw-out
$IPCHAINS -N out-gw
$IPCHAINS -N icmp

$IPCHAINS -A input -p icmp -j icmp
$IPCHAINS -A output -p icmp -j icmp
$IPCHAINS -A forward -p icmp -j icmp

$IPCHAINS -A input -p icmp -j icmp
$IPCHAINS -A output -p icmp -j icmp
$IPCHAINS -A forward -p icmp -j icmp
$IPCHAINS -A input -s ! $LOCAL -d $GW -i eth0 -j out-gw
$IPCHAINS -A output -s $GW -d ! $LOCAL -i eth1 -j gw-out
$IPCHAINS -A forward -s $LOCAL -d ! $LOCAL -i eth0 -j lan-out
$IPCHAINS -A forward -s ! $LOCAL -d $LOCAL -i eth1 -j out-lan
$IPCHAINS -A forward -j REJECT -l

$IPCHAINS -A lan-out -p tcp --dport pop-3 -j MASQ
$IPCHAINS -A lan-out -p tcp --dport telnet -j MASQ
$IPCHAINS -A lan-out -p tcp --dport ftp -j MASQ
$IPCHAINS -A lan-out -p tcp --dport ftp-data -j MASQ
$IPCHAINS -A lan-out -p tcp --sport 1023:65535 --dport 1023:65535 -j
MASQ
$IPCHAINS -A lan-out -j REJECT -l

#$IPCHAINS -A out-lan -p tcp -d $PROXY ftp-data -j ACCEPT
#$IPCHAINS -A out-lan -p tcp -d $MAIL smtp -j ACCEPT
#$IPCHAINS -A out-lan -p tcp -d $WWW www -j ACCEPT
$IPCHAINS -A out-lan -j REJECT -l

$IPCHAINS -A out-gw -p tcp --dport smtp -j ACCEPT
$IPCHAINS -A out-gw -p tcp --dport ssh -j ACCEPT
$IPCHAINS -A out-gw -p tcp --dport pop-3 -j ACCEPT
$IPCHAINS -A out-gw -p tcp --dport telnet -j ACCEPT -l
$IPCHAINS -A out-gw -p tcp --dport 3128 -j REJECT -l
$IPCHAINS -A out-gw -p tcp --dport 1023:65535 -j ACCEPT
$IPCHAINS -A out-gw -p udp --dport 1023:65535 -j ACCEPT
$IPCHAINS -A out-gw -p tcp --dport domain -j REJECT -l
$IPCHAINS -A out-gw -p udp --dport domain -j REJECT -l
$IPCHAINS -A out-gw -j REJECT -l

$IPCHAINS -A gw-out -p tcp ! -y -s $PROXY -j ACCEPT
#$IPCHAINS -A gw-out -p tcp --sport pop-3 -j ACCEPT
#$IPCHAINS -A gw-out -p tcp --sport www -j ACCEPT
#$IPCHAINS -A gw-out -p tcp --sport ftp -j ACCEPT
#$IPCHAINS -A gw-out -p tcp --sport ftp-data -j ACCEPT
#$IPCHAINS -A gw-out -p tcp --sport https -j ACCEPT
#$IPCHAINS -A gw-out -p tcp --sport 1023:65535 -j ACCEPT
#$IPCHAINS -A gw-out -p udp --sport 1023:65535 -j ACCEPT
$IPCHAINS -A gw-out -j REJECT -l

# ICMP pakety

$IPCHAINS -A icmp -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPCHAINS -A icmp -p icmp --icmp-type source-quench -j ACCEPT
$IPCHAINS -A icmp -p icmp --icmp-type time-exceeded -j ACCEPT
$IPCHAINS -A icmp -p icmp --icmp-type parameter-problem -j ACCEPT
$IPCHAINS -A icmp -p icmp --icmp-type ping -j ACCEPT
$IPCHAINS -A icmp -p icmp --icmp-type pong -j ACCEPT
$IPCHAINS -A icmp -j REJECT -l