On Thu, Nov 27, 2003 at 02:49:09PM +0300, Денис Смирнов wrote: > > > > Напишите такиеже 3-4 строчки для ftp доступа куданьть > > > > плиз, не поленитесь... > > > /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATES -j ACCEPT > > Еще полезно > > -A INPUT -m state --state INVALID,NEW -j DROP > Хм. Зачем? Затем, чтоб народное творчество обламывалось почаще. > > и в конце (при этом chain policy == ACCEPT) > > -A INPUT -j REJECT --reject-with icmp-host-unreachable > А policy == ACCEPT зачем? Чтоб добраться до -j REJECT, ессно :-) > > -- если не требуется именно дропать (большой паразитный трафик), > > то это сделает наш файрвол внешне неотличимым от просто > > открытых/закрытых портов. > Я так делаю везде, где это внутри сети (то есть где траффик не > считается и денег не стоит). На INPUT с интерфейса идущего в > интернет у меня везде -j DROP. У меня -- зависит. > >> /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATES -j ACCEPT > > Это если и изнутри не все выпускать, тогда осмысленно. И то > > как раз тогда -- не всегда =) > А почему как раз тогда не всегда? В смысле "как раз тогда -- не всегда ACCEPT" :-) > Изнутри я, бывает, не всех и не везде пускаю. Ну да, особенно на 25-й порт наружу. > > Кстати. Есть мысль, что если нет болтающегося identd -- > > осмысленно сделать так для избежания таймаутов тех, кто пытается > > в него стучаться (sendmail, ssh, ...): > > -A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset > > PS: все это легко находится гооглем :) > Есть такое дело. Каждый раз забываю, потом каждый раз с > матюками прописываю :) Ну лучше без матюков, чтоб системные утилиты не смущать непривычным синтаксисом да окружение не портить. Но наступить на грабли, не включив net.ipv4.ip_forward в /etc/sysctl.conf -- это тоже любимое :)))))) -- ---- WBR, Michael Shigorin ------ Linux.Kiev http://www.linux.kiev.ua/