Бьюсь головой о клавиатуру в страшных судорогах. Уже неделю не могу сделать так, что бы нормально заработал межсетевой экран. Спасайте, кто может =) Вопрос жизни и смерти (зачет)
Тема, конечно, замусоленная, но всеже...

Задача:
Две виртуальные машины под управлением Windows XP и Linux.
1) Для компьютера, функционирующего под управлением ОС Windows XP
- Выполнить настройку сетевого интерфейса. Задать IP-адрес, отличный от принятого стандарта в студенческой сети, т.е. отличный от 192.168.0.*. В качестве шлюза и DNS-сервера задать IP-адрес машины под управлением Linux.
- Рекомендуется использовать IP-адреса вида: 192.168.[номер машины].*, например: 192.168.11.2 (для машины user11)

2) Для компьютера, функционирующего под управлением ОС Linux
- Выполнить настройку второго сетевого интерфейса. Первый сетевой интерфейс получает сетевой адрес автоматически. Второй – задается статически из той же подсети, что и машина под управлением Windows.
- Сконфигурировать межсетевой экран, обеспечивающий для машины Windows:
- работающий DNS (протокол udp, порт 53)
DNS сервер студенческой сети: 192.168.0.1
- открытый доступ к http://bla.bla.bla.ru/ (http – протокол tcp, порт 80)
- попытка зайти на любой сайт в Интернете должна приводить к
отображению страницы по адресу http://blablawin/
- команда ping (протокол icmp, тип 8) должна работать на любой сайт Интернета,
кроме bla.bla.bla.ru.
При попытке пропинговать bla.bla.bla.ru должно выдаваться сообщение об
ошибке: «Заданный протокол недоступен»


Как это сделал я(Не работает):
#Содержимое iptables
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#разрешаем использование dns – меняем адреса отправителя и получателя
-A PREROUTING -p udp -s 192.168.8.1 --dport 53 -j DNAT --to-destination 192.168.0.1
#
-A POSTROUTING -p udp -s 192.168.8.1 --dport 53 -j SNAT --to-source 192.168.0.73
#разрешаем просмотр странички bla.bla.bla.ru
-A PREROUTING -p tcp -s 192.168.8.1 -d 194.85.96.90 --dport 80 -j ACCEPT
#все остальные tcp запросы на blablawin
-A PREROUTING -p tcp -s 192.168.8.1 --dport 80 -j DNAT --to-destination 192.168.0.1
-A POSTROUTING -p tcp -s 192.168.8.1 --dport 80 -j SNAT --to-source 192.168.0.73
#меняем адрес отправителя для команды ping
#-A POSTROUTING -p icmp -s 192.168.8.1 --icmp-type 8 -j SNAT --to-source 192.168.0.73
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
#запрещаем ping с bla.bla.bla.ru
-A FORWARD -p icmp -s 192.168.8.1 -d 194.85.96.90 --icmp-type 8 -j REJECT --reject-with icmp-proto-unreachable
:OUTPUT ACCEPT [0:0]
COMMIT

Перечитал кучу разных док, но так и не понял, почему не работает.
В чем ошибка? Как сделать так, что бы это чудо ожило?
(как я понял, не пробрасываются DNS запросы, но не уверен)

А вот про форвардинг можно поподробнее?
Я подобной настройкой вообще 1 раз в жизни занимаюсь, так что, не кидайте тухлыми помидорами =)

sysctl -w net.ipv4.ip_forward=1

Если имеется ввиду вот это чудо - то да. Есть.

"Жаль, что не пишете, что именно не работает. Или совсем ничего?"

Если пинговать внешний адрес, к примеру www.ru, то пишет, что заданная сеть недоступна.
По логике, оно и должно быть. Так как кроме bla.bla.bla.ru ничего работать и не должно.

Я пробовал такой вариант последнего правила, однако желаемого результата так и не доиблся
-A FORWARD -p icmp -s 192.168.8.1 -d ! 194.85.96.90 --icmp-type 8 -j REJECT --reject-with icmp-proto-unreachable

Т.е. по сути, не должен грузиться ни один сайт кроме bla.bla.bla.ru - все левые сайты он дропает успешно, однако, доступа на bla.bla.bla.ru тоже почему то нет.. =/
Такое впечатление, что DNS адрес не пробрасывается.

2.2.x

Поправка - версия ядра 2.4.х
ОС: Red Hat Linux

Проблема решена. Оказывается, не работало из-за глюков команды iptables restart.
При многократном использовании этой команды - сервис, видимо, подвисал.
Надо было просто сделать reboot машины - и все Ок.