On Thu, Nov 27, 2003 at 02:52:40PM +0700, aek wrote:

 > Ок.
 > Попробуем дальше завернуть гайки?
 > /sbin/iptables -A INPUT  -p tcp --dport 20 -m state --state ESTABLISHED,RELATES -j ACCEPT
 > /sbin/iptables -A OUTPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATES -j ACCEPT

Не вижу смысла в дополнительных ограничениях здесь. Если уж мы установили
соединение, то никакого повода не пропускать по нему пакеты я не знаю. Так
что если --state ESTABLISHED, то пропускать однозначно. IMHO/

 > /sbin/iptables -A INPUT  -p tcp --dport 1024:65535 -m state --state ESTABLISHED,RELATES -j ACCEPT
 > /sbin/iptables -A OUTPUT -p tcp --sport 1024:65535 -m state --state ESTABLISHED,RELATES -j ACCEPT
 > /sbin/iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 21 -j ACCEPT
 > или это бред?

А чем порты до 1024 лучше/хуже?

Уж если закручивать гайки, то с использованием -i/-o, масок подсетей,
и.т.д.
 
-- 
С уважением, Денис

http://freesource.info