Проблема с маршрутизатором из CLS

Tifei · November 24, 2010, 9:22pm

Имеется машина с cls 10.9

есть две карточки:

eth0 - локальная сеть
eth1 - интернет.

маршрутизация сделана по доку http://www.calculate-linux.ru/blogs/ru/15/show
“Сервер” в интернет выходит, все пингует.
компьютер из локальной сети видит сервер, его пингует.
но в интернет не выходит.

при пингах внешних адресов определяет их ИП, но пакеты пропадают.

в чем может быть проблема?

/etc/conf.d/net:

modules_eth0=( “!plug” )
modules_eth1=( “!plug” )

config_eth0=( “192.168.0.1 broadcast 192.168.0.255 netmask 255.255.255.0” )
config_eth1=( “192.168.127.127” )

iptables-save:
*nat
:PREROUTING ACCEPT [16879:1173316]
:OUTPUT ACCEPT [5890:380567]
:POSTROUTING ACCEPT [6064:481472]
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Wed Nov 24 21:18:56 2010
# Generated by iptables-save v1.4.10 on Wed Nov 24 21:18:56 2010
*filter
:INPUT ACCEPT [542775:336661340]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [688962:522916123]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT ! -i eth0 -p udp -m udp --dport 67 -j REJECT --reject-with icmp-port-unreachable
-A INPUT ! -i eth0 -p udp -m udp --dport 67 -j REJECT --reject-with icmp-port-unreachable
-A INPUT ! -i eth0 -p udp -m udp --dport 53 -j REJECT --reject-with icmp-port-unreachable
-A INPUT ! -i eth0 -p udp -m udp --dport 67 -j REJECT --reject-with icmp-port-unreachable
-A INPUT ! -i eth0 -p udp -m udp --dport 67 -j REJECT --reject-with icmp-port-unreachable
-A INPUT ! -i eth0 -p udp -m udp --dport 53 -j REJECT --reject-with icmp-port-unreachable
-A INPUT ! -i eth0 -p tcp -m tcp --dport 0:1023 -j DROP
-A INPUT ! -i eth0 -p udp -m udp --dport 0:1023 -j DROP
-A FORWARD -d 192.168.0.0/16 -i eth0 -j DROP
-A FORWARD -s 192.168.0.0/16 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.0/16 -i eth1 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT

cat /etc/sysctl.conf|grep net.ipv4.ip_forward
net.ipv4.ip_forward = 1

cat /etc/sysctl.conf|grep net.ipv4.conf.default.rp_filter
net.ipv4.conf.default.rp_filter = 1

cat /etc/sysctl.conf|grep net.ipv4.ip_dynaddr
net.ipv4.ip_dynaddr = 1