>[оверквотинг удален]
>$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
>
>#
># Цепочка INPUT
>#
>
>$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
>
>
>1
>#
># Правила для LAN (разрешаем все)
>#
>$IPTABLES -A INPUT -p ALL -i $VPN_IFACE -s $VPN_IP_RANGE -j ACCEPT
>$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $VPN_IP_RANGE -j ACCEPT
>$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
незнаю, оправдан ли полный доступ к шлюзу
>$IPTABLES -A INPUT -p ALL -i $LAN_IP -s $LO_IP -j ACCEPT
-i $LAN_IP - для входящего интерфейса указываете IP?
>$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
>$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $VPN_IP -j ACCEPT
>$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
эти 3 как-то не понятны для чего.
>[оверквотинг удален]
>
>
>#
># FORWARDинг на всю локальную сеть.(Пользователи из локалки могут ходить в интернет)
>
>#
>
>$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
>$IPTABLES -I FORWARD -i tun0 -j ACCEPT
>$IPTABLES -I FORWARD -o tun0 -j ACCEPT
tun0 - полностью открыта в инет?
>[оверквотинг удален]
>$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -d $INET_IP -p tcp --dport
>5800 -j DNAT --to-destination 192.168.0.116:5800 #Dameware Roman
>$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d ! $LAN_IP_RANGE -p tcp
>--dport 80 -j REDIRECT --to-port 8080 #прозрачный squid
>$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/255.255.255.0 -j MASQUERADE #
>пускаем в локалку openVPN
>
>
>Редирект 5001 и 5800 так и не зароботал. Компьютер используется в кач-ве
>почтового сервера, инет шлюза и прокси-сервера.
помоему правила для 5001 и 5800 нужны в FORWARD а не в INPUT
>
>Что посоветуете для безопасности сервера?