В общем так господа, как и обещал рассказываю о своих экспериментах:
1) Прошил заново проследнюю прошивку 1.31
2) Залил дефолтный конфиг, лежащий в папке с самой прошивкой.
3) Для чистоты эксперимента сбросил модем на заводские установки
4) Заново настроил саединение с провайдером и внутреннии IP адрес модема (всё осталось как и было раньше, никакие параметры сети не менял).
5) В Virtual servers - настроил переброс портов 110, 25, 5900 на свой доменный-почтовый сервер 192.168.10.1
6) Включил в модеме доступ из вне по телнету и HTTP, добавил внешние IP адреса с которых хочу управлять и изменил пароли пользователей в модеме.

Это всё была подготовка, как вы понимаете !!! А теперь самое интересное....в Security=> Incoming ничего не трогал вообще !!!

Едем дальше....в Security=> Outgoing никаких правил не назначал !!!

И что имеем в итоге...... 1) при включении Outgoing политики в положение BLOCK (т. е. весь траффик разрешен кроме назначенных вручную правил) - ВСЁ РАБОТАЕТ, ПОРТЫ ОТКРЫТЫ.
2) при включении Outgoing политики в положение ACCEPT (т. е. весь траффик запрещен кроме назначенных вручную правил) - НЕ РАБОТАЕТ НИ Х...Я порты закрыты.

Дальше привожу конфиги IPtebles в обоих случаях соответственно...

1 - СЛУЧАЙ (BLOCK) ******************************************

> iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:telnet
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT 2 -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere 239.255.255.254
ACCEPT tcp -- anywhere 192.168.10.1 tcp dpt:5900
ACCEPT tcp -- anywhere 192.168.10.1 tcp dpt:smtp
ACCEPT tcp -- anywhere 192.168.10.1 tcp dpt:110
ACCEPT all -- anywhere 224.0.0.0/3
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
DROP all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination




> iptables -t nat -L -nv
Chain PREROUTING (policy ACCEPT 494 packets, 34420 bytes)
pkts bytes target prot opt in out source destination
1 40 ACCEPT all -- * * 0.0.0.0/0 224.0.0.0/3
0 0 DNAT udp -- br0 * 0.0.0.0/0 192.168.10.100 udp dpt:53 to:195.49.232.2
0 0 DNAT tcp -- nas_0_0_33 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 to:192.168.10.1
10 516 DNAT tcp -- nas_0_0_33 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 to:192.168.10.1
0 0 DNAT tcp -- nas_0_0_33 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5900 to:192.168.10.1

Chain POSTROUTING (policy ACCEPT 10 packets, 516 bytes)
pkts bytes target prot opt in out source destination
6 450 MASQUERADE all -- * nas_0_0_33 192.168.10.0/24 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

2 - СЛУЧАЙ (ACCEPT) *****************************************

> iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:telnet
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT 2 -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere 239.255.255.254
ACCEPT tcp -- anywhere 192.168.10.1 tcp dpt:5900
ACCEPT tcp -- anywhere 192.168.10.1 tcp dpt:smtp
ACCEPT tcp -- anywhere 192.168.10.1 tcp dpt:110
ACCEPT all -- anywhere 224.0.0.0/3
DROP all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
DROP all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination



> iptables -t nat -L -nv
Chain PREROUTING (policy ACCEPT 2737 packets, 193K bytes)
pkts bytes target prot opt in out source destination
1 40 ACCEPT all -- * * 0.0.0.0/0 224.0.0.0/3
0 0 DNAT udp -- br0 * 0.0.0.0/0 192.168.10.100 udp dpt:53 to:195.49.232.2
1 48 DNAT tcp -- nas_0_0_33 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 to:192.168.10.1
42 2180 DNAT tcp -- nas_0_0_33 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 to:192.168.10.1
1 48 DNAT tcp -- nas_0_0_33 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5900 to:192.168.10.1

Chain POSTROUTING (policy ACCEPT 46 packets, 2404 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * nas_0_0_33 192.168.10.0/24 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Как говориться найди 10 отличий !!! Какие будут мысли господа ?!

что у вас получилось с "пробросом портов" в вирт.сервере в конечном итоге?

_________________
2540U/BRU/D, 2600U/BRU/C, ОГО+!

Я же в посте выше вроде всё понятно написал, получилось 2 варианта работает и не работает + строка DROP all -- anywhere anywhere !!! которая всё блокирует !!!

Ну хорошо, вы разобрались что некая строка блокирует, заголовок темы - не работает вирт.сервер? так он работает у вас или не работает?
добавьте правила в Outgoing разрешающие порты.

_________________
2540U/BRU/D, 2600U/BRU/C, ОГО+!

А у меня другое предложение. Опять все сбросить и задать сначала Outgoing blocked и только потом пробросить порты. Возможно в этом случае правило будет в нужном месте? Если нет - можно предъявлять претензии D-Link

2 tundra37 - так я первый раз так и делал, сначала правила создавал, потом порты перебрасывал. А сейчас пошел по обратному пути.

2 Anri_K - сервер работает, при условии что политика стоит в состоянии разрешить всё....но мне надо что бы она стояла в состоянии запретить всё !!! И я сам настраивал кому и куда выходить, и при этом - работал виртуал сервер.

Я это и имел ввиду - Outgoing accept. Подразумевал, что все будет заблокировано При правильной реализации проброс портов должен правило для обратных пакетов поместить в нужное место.
Ведь в Incoming при аналогичной ситуации все работает.

В том то и дело что созданные правила не были помещены в нужное место....

Вобщем считаю так !!! Это косяк программистов D-linka !!!

Вопрос к знатокам Линухи !!!

Как из iptables убрать выделенную строку ?!

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere 239.255.255.254
ACCEPT all -- anywhere 239.255.255.250
ACCEPT tcp -- anywhere 192.168.10.1 tcp dpt:5900
ACCEPT tcp -- anywhere 192.168.10.1 tcp dpt:smtp
ACCEPT tcp -- anywhere 192.168.10.1 tcp dpt:110
ACCEPT all -- anywhere 224.0.0.0/3
DROP all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
DROP all -- anywhere anywhere

Уважаемые господа из В-Link, почему вы не отвечаете на письма ?!
Ковыряние вашего модема, из-за проблемы переброски портов в Virtual Servers показало интересную деталь !!!

> iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:telnet
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT 2 -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere 239.255.255.254
ACCEPT all -- anywhere 239.255.255.250
ACCEPT tcp -- anywhere 192.168.10.1 tcp dpt:3389
ACCEPT tcp -- anywhere 192.168.10.1 tcp dpt:5900
ACCEPT tcp -- anywhere 192.168.10.1 tcp dpt:smtp
ACCEPT tcp -- anywhere 192.168.10.1 tcp dpt:110
ACCEPT all -- anywhere 224.0.0.0/3
ACCEPT icmp -- anywhere anywhere source IP range 192.168.10.1-192.168.10.99
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.1-192.168.10.99 tcp dpt:domain
ACCEPT udp -- anywhere anywhere source IP range 192.168.10.1-192.168.10.99 udp dpt:domain
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.1-192.168.10.99 tcp dpt:110
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.1-192.168.10.99 tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.1-192.168.10.99 tcp dpt:5190
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.19-192.168.10.19 destination IP range 85.91.108.74-85.91.108.74 tcp dpt:9091
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.14-192.168.10.15 tcp dpt:www
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.27-192.168.10.31 tcp dpt:www
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.17-192.168.10.17 tcp dpt:www
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.20-192.168.10.20 tcp dpt:www
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.25-192.168.10.25 tcp dpt:www
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.1-192.168.10.1 tcp dpt:www
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.1-192.168.10.99 tcp dpt:https
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.1-192.168.10.99 tcp dpts:ftp-data:ftp
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.1-192.168.10.99 tcp dpt:5900
DROP all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
DROP all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Поясните пожалуйста почему правила открытия портов для security=>outgoing записываются не в политику Chain OUTPUT (policy ACCEPT), а попадают
в пункт Chain FORWARD (policy ACCEPT) - относящийся к перенаправлению портов как я понимаю ?!

iptables -L FORWARD --line-numbers
iptables -D FORWARD №-строки

вот так...

iptables -L FORWARD --line-numbers
iptables -D FORWARD №-строки

Спасибо !!!

Советую написать в support письмо с картинками, т.к. вряд ли кто-то будет разбираться в этом запутанном топике. Иначе правок долго не будет.

не, определённо что то не то.. спецом на 15 мин приостановил работу сети и перенастроил модем в правилах на политику ACCEPT. работает!!! и всё перебрасывает!!! т.к. эта схема у мну работала раньше и помню шо всё гуд было!
имхо даже хитрое тестирование поддерживает типа тунель в тунеле ))) по рдп...

_________________
2540U/BRU/D, 2600U/BRU/C, ОГО+!

Разница в том, что у Dr.Shooter прописаны правила для 192.168.10.1 не только внутрь, но и наружу Он просто невнимательно читал мои предложения по проверке и объяснения ситуации, а мне лень разбираться в правилах iptables, в которых я не разбираюсь.