From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <vserge@menatepspb.msk.ru>
From: "Volkov Serge" <vserge@menatepspb.msk.ru>
To: mandrake-russian@altlinux.ru
Subject: Re: [mdk-re] ipchains question!
Message-Id: <20011019121105.7b35acec.vserge@menatepspb.msk.ru>
In-Reply-To: <3BCF12D5.5080308@lrn.ru>
References: <20011018211628.0ea09c02.lenya@chemsell.yaroslavl.ru>
	<3BCF12D5.5080308@lrn.ru>
X-Mailer: Sylpheed version 0.6.3 (GTK+ 1.2.10; i586-alt-linux)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
Sender: mandrake-russian-admin@altlinux.ru
Errors-To: mandrake-russian-admin@altlinux.ru
X-BeenThere: mandrake-russian@altlinux.ru
X-Mailman-Version: 2.0
Precedence: bulk
Reply-To: mandrake-russian@altlinux.ru
List-Help: <mailto:mandrake-russian-request@altlinux.ru?subject=help>
List-Post: <mailto:mandrake-russian@altlinux.ru>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@altlinux.ru?subject=subscribe>
List-Id: Linux-Mandrake RE / ALT Linux discussion list <mandrake-russian.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://altlinux.ru/pipermail/mandrake-russian/>
Date: Fri Oct 19 12:11:01 2001
X-Original-Date: Fri, 19 Oct 2001 12:11:05 +0400
Archived-At: <http://lore.altlinux.org/community/20011019121105.7b35acec.vserge@menatepspb.msk.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Вы Thu, 18 Oct 2001 21:35:17 +0400
John Profic <profic@lrn.ru> написали:

> Lenya L. Khachaturov wrote:
> 
> > Здравствуйте,
> > Подскажите пожалуйста как сделать следующее:
> > policy на default-цепочках -- DENY
> > Нужно разрешить хостам из внутренней сети 192.168.1.0/24
> > доступ к внешним серверам smtp (для примера). Что-то никак
> > не получается! Как написал
> > ipchains -P input DENY
> > ipchains -P output DENY
> > ipchains -P forward DENY
> 
> > так все и перерубило, как ни пляшу.
> 
> Не знаю, но может DENY это слишком?
> я пользуюсь /etc/init.d/ipchains
> вот его конфиг
> :input ACCEPT
> :forward ACCEPT
> :output ACCEPT
> -A forward -p tcp -s 192.168.1.101/255.255.255.255 -d 0.0.0.0/0.0.0.0 
> smtp -j MASQ
> -A forward -p tcp -s 192.168.1.101/255.255.255.255 -d 0.0.0.0/0.0.0.0 
> pop3 -j MASQ
> Т.е. полько одна машина в сети (IP 192.168.1.101 - это mail-сервер) 
> может иметь доступ к внешним SMTP и POP3 серверам, все остальные у меня 
> сидят на скивиде, ну кроме самого шлюза :)

Нужно быть немного строже

ipchains -P input DENY
ipchains -P output DENY
ipchains -P forward DENY
ipchains -A input -s 192.168.1.0/255.255.255.0 -d 0/0 -j ACCEPT
ipchains -A output -s 0/0 -d 192.168.1.0/255.255.255.0 -j ACCEPT
ipchains -A forward -s 192.168.1.0/255.255.255.0 -d 0/0 -j MASQ



-- 
With best wishes, Volkov Serge		
Network Administrator/Security Administrator