From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <juveman@atom.ru>
Date: Sat, 29 May 2004 12:34:46 +0400
From: Juveman <juveman@atom.ru>
To: community@altlinux.ru
Message-Id: <20040529123446.0b22ec48@juveman.pyat.atom.ru>
X-Mailer: Sylpheed version 0.9.10claws (GTK+ 1.2.10; i686-pc-linux-gnu)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
Subject: [Comm] =?koi8-r?b?8M/Nz8fJ1MUg0sHaz8LSwdTY09Eg0w==?= iptables
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: community@altlinux.ru
List-Id: Mailing list for ALT Linux users <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Sat, 29 May 2004 08:30:51 -0000
Archived-At: <http://lore.altlinux.org/community/20040529123446.0b22ec48@juveman.pyat.atom.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Разбираюсь с настройкой iptables. В связи с этим возникло пара вопросов.
Я пробую ограничить использование сети только протоколами http и ftp. ( я только разбираюсь с настройкой, поэтому целесообразность подобного шага не обсуждается :))
Для этого выполняю следующие команды:
iptables -A INPUT -p TCP -m multiport --sport 21,80 -j ACCEPT
iptables -A INPUT -p TCP -j REJECT
И вот здесь начинается самое интересное. Отрубаются практически все сетевые программы. Работает только браузер (в принципе как и было задумано). Но не работает ftp. То есть соединение с сервером происходит, успешно проходит авторизация (если нужна), но список файлов и каталогов фтп-клиент не получает. Начитавшись iptables-tutorial, разрешаю еще соединения с 20 порта. Ничего не меняется.
Там же в iptables-tutorial написано, что для с фтп через файерволл требуется дополнительный модуль ip_conntrack_ftp.
Выполняю modprobe -l 
/lib/modules/2.6.3-7mdk/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko.gz
Насколько я понимаю, этот модуль загружен. 
До введения этих правил соединения с фтп серверами проходили нормально. Подскажите, пожалуйста, как все-таки заставить работать фтп при таких настройках. 
И еще. Очень мне понравились действия icq, которая просто переползла на использование 80 порта (если верить netstat) и, соответственно, спокойно соединилась с сервером :)) Ей как-нибудь можно заблокировать выход в сеть?

----------
С уважением, Juveman