Здравейте, и честит празник на всички дами !
Ситуацията е следната: Рутер с Debian etch, ядро 2.6.17-3 (или 17-4) Интерфейс към мрежата на доствачика eth0, интернет получавам през ВПН (pptp с mppe), интерфейс към вътрешната мрежа eth1 (мрежа 192.168.0.0/24) Всичко си работи, но не съм конфигурирал Firewall, понеже като инсталирах рутера бързах доста и го пуснах да разпределя нета и вече физически достъп до него нямам, влизам с ssh в него,ето тук идва евентуалният проблем
ако объркам нещо във firewall-a примерно при задаване на политика
и евентуални грешки надолу в скрипта ще си отрежа "клона" и няма да имам достъп чрез ssh - поне са ми такива опасенията за това искам съвет, за да не случва това 
направих си изпълним файл в /etc/network/if-up.d който да вдига тунела на ВПН и и да изпълнява скрипта за firewall
/etc/network/if-up.d/star
/etc/init.d/ е засега е със следното съдържание (тук мисля да напиша целия firewall)използвам ppp+ понеже със стартирането на системата ми вдига няколко ppp интерфейса , понякога ppp0 и ppp2,понякога ppp0,ppp1,ppp2 - различно понякога са ppp1 - това не ме притеснява (още повече, че в момента доставчика ми явно има някакъв проблем и имам нет през неговият gw - при мен eth0, но това сигурно скоро ще го оправят и ще имам само чрез VPN) това съм решил да е Firewall-a Моля ако има излишни редове или липсващи да ми дадете съвет да ги коригирам. Порт 22 няма смисъл да го отварям понеже не мога да се свържа от интернет с рутера (публичният адрес го сменят, а дори и когато знам и пробвам не мога да стигна до рутера няма пренасочен порт към моето IP)Искам и да да отворя няколко порта за торенти, за получаване на файлове по ICQ,Skype,Yahoo mesenger и евентуално ако е нужно нещо за IRC (някой от мрежата го ползват, аз не го ползвам и нямам идея как работи)- само, че незнам как да го направя.
Благодаря предварително !
Ситуацията е следната: Рутер с Debian etch, ядро 2.6.17-3 (или 17-4) Интерфейс към мрежата на доствачика eth0, интернет получавам през ВПН (pptp с mppe), интерфейс към вътрешната мрежа eth1 (мрежа 192.168.0.0/24) Всичко си работи, но не съм конфигурирал Firewall, понеже като инсталирах рутера бързах доста и го пуснах да разпределя нета и вече физически достъп до него нямам, влизам с ssh в него,ето тук идва евентуалният проблем

Код:
iptables -P INPUT DROP

направих си изпълним файл в /etc/network/if-up.d който да вдига тунела на ВПН и и да изпълнява скрипта за firewall
/etc/network/if-up.d/star
Код:
#!/bin/sh
pon vpn
/etc/init.d/fire
pon vpn
/etc/init.d/fire
Код:
#!/bin/sh
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE;
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp+ -j MASQUERADE;
iptables -t mangle -A PREROUTING -i ppp+ -j TTL --ttl-inc 1;
iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-inc 1;
iptables -t mangle -A POSTROUTING -s 192.168.0.0/24 -o ppp+ -j TTL --ttl-set 64;
iptables -t mangle -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j TTL --ttl-set 64;
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE;
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp+ -j MASQUERADE;
iptables -t mangle -A PREROUTING -i ppp+ -j TTL --ttl-inc 1;
iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-inc 1;
iptables -t mangle -A POSTROUTING -s 192.168.0.0/24 -o ppp+ -j TTL --ttl-set 64;
iptables -t mangle -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j TTL --ttl-set 64;
Код:
#!/bin/sh
iptables -F;
iptables -P INPUT ACCEPT;
iptables -P FORWARD ACCEPT;
iptables -P OUTPUT ACCEPT;
iptables -t nat -F;
iptables -t nat -P PREROUTING ACCEPT;
iptables -t nat -P POSTROUTING ACCEPT;
iptables -t nat -P OUTPUT ACCEPT;
iptables -t mangle -F;
iptables -t mangle -P PREROUTING ACCEPT;
iptables -t mangle -P INPUT ACCEPT;
iptables -t mangle -P FORWARD ACCEPT;
iptables -t mangle -P OUTPUT ACCEPT;
iptables -t mangle -P POSTROUTING ACCEPT;
iptables -P INPUT DROP;
iptables -A INPUT -i lo -j ACCEPT;
iptables -A INPUT -i eth1 -j ACCEPT;
iptables -A INPUT -p icmp -j ACCEPT;
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT;
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE;
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp+ -j MASQUERADE;
iptables -A FORWARD -s 192.168.1.0/24 -o ppp+ -j ACCEPT;
iptables -A FORWARD -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -i ppp+ -j ACCEPT;
iptables -A FORWARD -s 192.168.0.0/24 -o eth0 -j ACCEPT;
iptables -A FORWARD -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -i eth0 -j ACCEPT;
iptables -t mangle -A PREROUTING -i ppp+ -j TTL --ttl-inc 1;
iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-inc 1;
iptables -t mangle -A POSTROUTING -s 192.168.0.0/24 -o ppp+ -j TTL --ttl-set 64;
iptables -t mangle -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j TTL --ttl-set 64;
iptables -F;
iptables -P INPUT ACCEPT;
iptables -P FORWARD ACCEPT;
iptables -P OUTPUT ACCEPT;
iptables -t nat -F;
iptables -t nat -P PREROUTING ACCEPT;
iptables -t nat -P POSTROUTING ACCEPT;
iptables -t nat -P OUTPUT ACCEPT;
iptables -t mangle -F;
iptables -t mangle -P PREROUTING ACCEPT;
iptables -t mangle -P INPUT ACCEPT;
iptables -t mangle -P FORWARD ACCEPT;
iptables -t mangle -P OUTPUT ACCEPT;
iptables -t mangle -P POSTROUTING ACCEPT;
iptables -P INPUT DROP;
iptables -A INPUT -i lo -j ACCEPT;
iptables -A INPUT -i eth1 -j ACCEPT;
iptables -A INPUT -p icmp -j ACCEPT;
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT;
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE;
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp+ -j MASQUERADE;
iptables -A FORWARD -s 192.168.1.0/24 -o ppp+ -j ACCEPT;
iptables -A FORWARD -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -i ppp+ -j ACCEPT;
iptables -A FORWARD -s 192.168.0.0/24 -o eth0 -j ACCEPT;
iptables -A FORWARD -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -i eth0 -j ACCEPT;
iptables -t mangle -A PREROUTING -i ppp+ -j TTL --ttl-inc 1;
iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-inc 1;
iptables -t mangle -A POSTROUTING -s 192.168.0.0/24 -o ppp+ -j TTL --ttl-set 64;
iptables -t mangle -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j TTL --ttl-set 64;
Благодаря предварително !