From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: "Sergey S. Skulachenko" To: mandrake-russian@altlinux.ru Subject: Re: [mdk-re] ipchains question Message-Id: <20011019130655.578bec50.sssku@online.ru> In-Reply-To: <20011019121105.7b35acec.vserge@menatepspb.msk.ru> References: <20011018211628.0ea09c02.lenya@chemsell.yaroslavl.ru> <3BCF12D5.5080308@lrn.ru> <20011019121105.7b35acec.vserge@menatepspb.msk.ru> X-Mailer: stuphead ver. 0.5.4 (1310) (GTK+ 1.2.10; Linux 2.4.10-alt1-up; i586) Organization: private person Mime-Version: 1.0 Content-Type: text/plain; charset="KOI8-R" Content-Transfer-Encoding: 8bit Sender: mandrake-russian-admin@altlinux.ru Errors-To: mandrake-russian-admin@altlinux.ru X-BeenThere: mandrake-russian@altlinux.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: mandrake-russian@altlinux.ru X-Reply-To: sssku@online.ru List-Help: List-Post: List-Subscribe: , List-Id: Linux-Mandrake RE / ALT Linux discussion list List-Unsubscribe: , List-Archive: Date: Fri Oct 19 13:06:27 2001 X-Original-Date: Fri, 19 Oct 2001 13:06:55 +0400 Archived-At: List-Archive: List-Post: On Fri, 19 Oct 2001 12:11:05 +0400 "Volkov Serge" wrote: >> -A forward -p tcp -s 192.168.1.101/255.255.255.255 -d >>0.0.0.0/0.0.0.0 >> pop3 -j MASQ >> Т.е. полько одна машина в сети (IP 192.168.1.101 - это >>mail-сервер) >> может иметь доступ к внешним SMTP и POP3 серверам, все > Нужно быть немного строже > ipchains -P input DENY > ipchains -P output DENY > ipchains -P forward DENY > ipchains -A input -s 192.168.1.0/255.255.255.0 -d 0/0 -j ACCEPT > ipchains -A output -s 0/0 -d 192.168.1.0/255.255.255.0 -j > ACCEPT > ipchains -A forward -s 192.168.1.0/255.255.255.0 -d 0/0 -j MASQ Поясните, чем Ваш вариант строже. Для критикуемого варианта приведены, ведь, не все цепочки, и речь идёт о правах только одной машины. В Вашем варианте - всех машин из внутренней сети. ____________ С уважением, С.С.Скулаченко