From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <aek@taxpol.krasnoyarsk.su>
Date: Mon, 4 Nov 2002 12:01:17 +0700
From: aek <aek@taxpol.krasnoyarsk.su>
X-Mailer: The Bat! (v1.39) Educational
Organization: UFSNP
X-Priority: 3 (Normal)
Message-ID: <18500.021104@taxpol.krasnoyarsk.su>
To: "demien@samtel.ru" <community@altlinux.ru>
In-reply-To: <20021101083755.GB30668@toyotasamara.ru>
References: <20021101083755.GB30668@toyotasamara.ru>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
Subject: [Comm] =?koi8-r?B?UmVbMl06IFtDb21tXSBSZTogW0NvbW1dIHBvcDMg3sXSxdogaXB0YWJsZXM=?=
Sender: community-admin@altlinux.ru
Errors-To: community-admin@altlinux.ru
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: community@altlinux.ru
X-Reply-To: aek <aek@taxpol.krasnoyarsk.su>
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Id: <community.altlinux.ru>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
List-Archive: <http://www.altlinux.ru/pipermail/community/>
Archived-At: <http://lore.altlinux.org/community/18500.021104@taxpol.krasnoyarsk.su/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Hello demien,

Friday, November 01, 2002, 3:37:55 PM, you wrote:

>> Понятное дело что весь остальной трафик у сервера придется
>> тоже через Ипчейнз разрешать (по нормальному)
>> 
dsr> А если у меня народ в инет через Squid лезет, а через Postfix почту
dsr> отправляет, для них то же нужно правила в ipchains прописывать?

Повторюсь. Придется выписывать все порты которые ты открываешь и кому
ты их открываешь. Для сквида правила такие:

Юзера ходют из подсетки (сам догадайся какой :)) на порт 8010 (у тебя
может быть прописан другой порт, посмотри в /etc/squid/squid.conf)
ipchains -A input  -p tcp -s 192.168.1.0/24 0:65535 --dport 8010 -j ACCEPT
От себя отпускаются только пакеты с установленным соединением от 8010
порта и только в разрешеную сеть.
ipchains -A output -p tcp ! -y --sport 8010 -d 192.168.1.0/24 0:65535 -j ACCEPT

А сквид уже ходит на любую машину к 80 порту (WWW)
ipchains -A output -p tcp --sport 0:65535 --dport 80 -j ACCEPT
К себе - только установленные соединения с 80 порта.
ipchains -A input  -p tcp ! -y --sport 80 --dport 0:65535 -j ACCEPT

Самые широко используемые порты и протоколы ты должен знать, без этого
за firewall можешь даже не браться.


-- 
Всех благ!
Анатолий