From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <fmfm@symmetron.msk.ru>
Message-ID: <3DB7BDC5.9050506@symmetron.msk.ru>
Date: Thu, 24 Oct 2002 13:30:45 +0400
From: =?KOI8-R?Q?=F7=CC=C1=C4=C9=CD=C9=D2?= <fmfm@symmetron.msk.ru>
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.0; ru-RU; rv:1.0.0) Gecko/20020526
X-Accept-Language: ru, en
MIME-Version: 1.0
To: community@altlinux.ru
Subject: Re: [Comm] =?KOI8-R?Q?=F0=CF=CB=D2=C9=D4=C9=CB=D5=CA=D4=C5=C2=C5?=
 =?KOI8-R?Q?=DA=CF=D0=C1=D3=CE=CF=D3=D4=D8?=
References: <02102412372001.02483@glavbuh.park.ru>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Sender: community-admin@altlinux.ru
Errors-To: community-admin@altlinux.ru
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: community@altlinux.ru
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Id: <community.altlinux.ru>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
List-Archive: <http://www.altlinux.ru/pipermail/community/>
Archived-At: <http://lore.altlinux.org/community/3DB7BDC5.9050506@symmetron.msk.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Alexey N. Shananin пишет:

>Привет! 
>
>Есть 2 хоста: alex и nick.
>1) alex: 
>	ppp0 - интернет
>	eth0 - 192.168.0.0/16
>	eth1 - nick(10.0.0.2)
>2) nick:
>	eth0 - alex(10.0.0.3)
>
>На nick настроен шлюз по умолчанию - alex. 
>На alex запускается следующий скрипт rc.firewall: 
>--------------------------------
>iptables -N block
>iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
>iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
>iptables -A block -j DROP
>iptables -A INPUT -j block
>
>iptables -A FORWARD -i ppp0 -o eth1 -m state --state ESTABLISHED,RELATED -j 
>ACCEPT
>iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j 
>ACCEPT
>iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT
>iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
>
>iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
>iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
>---------------------------------
>то есть я(alex) хочу маскарадить хост nick и в локальную и в интернет в то же 
>время не хочу чтобы кто-то другой кроме nick мог использовать меня как шлюз 
>или для маскарада.
>также, хочу чтобы никто из интернета не коннектился ко мне(цепочка block).
>Я правильно написал всё?  
>
>Спасибо! 
>
>  
>
А где rules для протоколов udp и icmp?
Без правил для них поимеете много бед.
По tcp иногда стоит открыть для внешних --syn порт 113.
Не знаю у кого как, а мои логи в последнее время
забиты  --state NEW  ! --syn --dport 25. Из такого всплеска
активности можно предположить, что спалмеры откопали
какую то дырку.

-- 
Best regards
Vladimir