From: Juveman <juveman@atom.ru>
To: community@altlinux.ru
Subject: [Comm] Re: Помогите разобраться с iptables
Date: Sat, 29 May 2004 15:31:22 +0400
Message-ID: <20040529153122.71762c5e@juveman.pyat.atom.ru> (raw)
In-Reply-To: <20040529111000.8FA45E575F@master.altlinux.ru>
> > Выполняю modprobe -l
> > /lib/modules/2.6.3-7mdk/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko.gz
> > Насколько я понимаю, этот модуль загружен.
>
> lsmod подскажет точнее.
lsmod самой первой строкой выводит:
Module Size Used by
ip_conntrack_ftp 71668 0
> > До введения этих правил соединения с фтп серверами проходили нормально. Подскажите, пожалуйста, как все-таки заставить работать фтп при таких настройках.
>
> > И еще. Очень мне понравились действия icq, которая просто переползла
> > на использование 80 порта (если верить netstat) и, соответственно,
> > спокойно соединилась с сервером :)) Ей как-нибудь можно заблокировать
> > выход в сеть?
>
> Это не очень тривиально, но можно. А вообще в организации нужно держать
> один прокси-сервер и запретить вообще наружу коннекты. А на прокси
> открывается только http и ftp и персонально запрещаются все подсети
> mirabilis'а. :-)
:)) До организации мне пока далеко :) Пока строю сеть только у себя в подъезде :))
> > Разбираюсь с настройкой iptables. В связи с этим возникло
> > пара вопросов. Я пробую ограничить использование сети только
> > протоколами http и ftp. (я только разбираюсь с настройкой,
> > поэтому целесообразность подобного шага не обсуждается :))
> > Для этого выполняю следующие команды:
>
> iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Это правило у меня есть. Без него вообще ничего не загружается :))
>
> > iptables -A INPUT -p TCP -m multiport --sport 21,80 -j ACCEPT
>
> iptables -A INPUT -p TCP -m multiport --sport 20,21,80 -j ACCEPT
Так и сделал
>
> > iptables -A INPUT -p TCP -j REJECT
>
> Для использования функциональности этого модуля необходимо
> задействовать правила с использованием модулья state и фильтровать
> соответствующие состояния соединений.
Это я понял. Насколько я понял из tutorial, если их не фильтровать, то вообще ничего не загрузится (политика по умолчанию для всех цепочек DROP). Поэтому это правило присутствует. Но именно фтп не работает. То есть клиент соединяется, проходит авторизацию и чего-то ждет.
----------
С уважением, Juveman
next parent reply other threads:[~2004-05-29 11:31 UTC|newest]
Thread overview: 4+ messages / expand[flat|nested] mbox.gz Atom feed top
2004-05-29 11:31 ` Juveman [this message]
2004-05-29 12:08 ` Dmitry Lebkov
2004-06-13 15:24 ` Michael Shigorin
2004-05-31 5:11 ` Nikita Semenov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20040529153122.71762c5e@juveman.pyat.atom.ru \
--to=juveman@atom.ru \
--cc=community@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git