Возможно, просто необходимо включить передачу IPv4 (направляющую) как это:
отзовитесь эхом 1>/proc/sys/net/ipv4/ip_forward
(значение по умолчанию 0 там. Я устанавливаю debian как брандмауэр 2 дня назад, и это помогло ;))
Править
Этот сценарий сохраняет и удаляет все записи в Вашем iptables и настраивает базовую конфигурацию для подмены из внутренней сети.
#!/bin/bash
# saving old iptables-configuration
iptables-save > /home/xxusernamexx/iptables-saved.out
# delete all existing rules and chains
iptables -F
iptables -t nat -F
iptables -X
iptables -Z
iptables -t nat -Z
# setting up masquerade
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# forwarding for answer-packages from the internet
iptables -A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -o eth1 -j ACCEPT
iptables -A FORWARD -j LOG --log-ip-options --log-prefix fwd-drop
iptables -A FORWARD -j DROP
# allowing loopback and internal connections
# uncommend the following line if you want to allow ping from external
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT # for your webserver
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # edited
iptables -A INPUT -p icmp --icmp-type 8 -i eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT # for connections from lan-nic
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -j LOG --log-ip-options --log-prefix io-drop
iptables -A INPUT -j DROP
iptables -A OUTPUT -j ACCEPT # edited
iptables -A OUTPUT -p icmp --icmp-type 0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -j LOG --log-ip-options --log-prefix io-drop
iptables -A OUTPUT -j DROP
# just to make sure that routing is enabled
echo 1 > /proc/sys/net/ipv4/ip_forward
Попробуйте этот сценарий. Я не могу действительно протестировать его, потому что мои интерфейсы eth1-eth0 используются другой путь, но я записал этот сценарий на основе своей собственной конфигурации. Чтобы быть сохраняют, этот сценарий экспортирует Вашу фактическую iptables-конфигурацию в Вашу папку дома. Это может быть восстановлено с помощью iptables-восстановления <имя файла
Править: добавленный iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
и удаленный -m state --state RELATED,ESTABLISHED
в первом правиле ВЫВОДА, чтобы позволить серверу устанавливать собственные связи в каждой сети (т.е. для запроса сервер DNS)
EDIT2: проблема решена. Было несколько неправильно сконфигурированных вещей:
iptables: Мы должны были изменить сценарий немного для получения, это полностью рабочий (отредактировал его в моем ответе также).
DHCP: dhcpd был настроен для использования '192.168.0.1' в качестве сервера DNS. Но сервер не выполнял DNS-сервер. Мы настроили его к СЕРВЕРАМ DNS ISP.
Маршрутизатор: сервер был включен в Порте WAN маршрутизатора. Это принесло маршрутизатор для отбрасывания нескольких пакетов от клиентов к серверу (и назад). Aurel включил его в Порт LAN, и это работало.
Как мудро опубликовано на Как я могу ограничить разрешения EC2 для описания изображений , разрешения на уровне ресурсов вообще не реализованы для действий ec2: Describe *
.
На самом деле вам нужно ограничивать доступ на основе других вещей, а не ресурса ARN.