vqd писал(а):Смотрите остальные правила, возможно перед ним или после еще что то есть
А вот дальше, вроде ничего интересного:
Код: Выделить всё
add action=accept chain=input comment="Accept icmp packets" protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=input comment="Accept ssh connections" dst-port=65322 protocol=tcp
add action=accept chain=input comment="GRE over IPSec tunnel" protocol=gre
add action=accept chain=input port=500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment="Accept localnet to router connections" src-address-list=hqtnets
add action=accept chain=forward comment="Accept localnet to internet connections" src-address-list=hqtnets
add action=accept chain=input comment="Accept fabnet to router connections" src-address-list=fabnets
add action=accept chain=forward comment="Accept fabnet to localnet connections" src-address-list=fabnets
add action=accept chain=forward comment="Accept between externalnets and zmtnets connections" dst-address-list=zmtnets src-address-list=externalnets
add action=accept chain=forward dst-address-list=externalnets src-address-list=zmtnets
add action=accept chain=input comment="TEST Rule for src-nat & dst-nat" connection-nat-state=srcnat,dstnat disabled=yes
add action=accept chain=forward connection-nat-state=srcnat,dstnat log-prefix=FWD-ALLOW
add action=drop chain=input comment="All other Drop!"
add action=drop chain=forward log-prefix=FWD-DROP
"TEST Rule (forward)" тут я думал над вариантами:
1) как везде пишут: drop forward !=dst-nated
2) просто разрешить forward =dst-nated, а в конце всеобщий drop
мне показалось так удобнее/нагляднее
poppy писал(а):так и будет работать, invalid даже иногда будет проходить))
При условии что established и related "дропаются"?