From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <juveman@atom.ru>
Date: Sat, 29 May 2004 15:31:22 +0400
From: Juveman <juveman@atom.ru>
To: community@altlinux.ru
Message-Id: <20040529153122.71762c5e@juveman.pyat.atom.ru>
In-Reply-To: <20040529111000.8FA45E575F@master.altlinux.ru>
References: <20040529111000.8FA45E575F@master.altlinux.ru>
X-Mailer: Sylpheed version 0.9.10claws (GTK+ 1.2.10; i686-pc-linux-gnu)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
Subject: [Comm] Re: =?koi8-r?b?8M/Nz8fJ1MUg0sHaz8LSwdTY09Eg0w==?= iptables
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: community@altlinux.ru
List-Id: Mailing list for ALT Linux users <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Sat, 29 May 2004 11:27:27 -0000
Archived-At: <http://lore.altlinux.org/community/20040529153122.71762c5e@juveman.pyat.atom.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

> > Выполняю modprobe -l 
> > /lib/modules/2.6.3-7mdk/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko.gz
> > Насколько я понимаю, этот модуль загружен. 
> 
> lsmod подскажет точнее.

lsmod самой первой строкой выводит:
Module                  Size  Used by
ip_conntrack_ftp       71668  0

> > До введения этих правил соединения с фтп серверами проходили нормально. Подскажите, пожалуйста, как все-таки заставить работать фтп при таких настройках. 
> 
> > И еще. Очень мне понравились действия icq, которая просто переползла
> > на использование 80 порта (если верить netstat) и, соответственно,
> > спокойно соединилась с сервером :)) Ей как-нибудь можно заблокировать
> > выход в сеть?
> 
> Это не очень тривиально, но можно. А вообще в организации нужно держать
> один прокси-сервер и запретить вообще наружу коннекты. А на прокси
> открывается только http и ftp и персонально запрещаются все подсети
> mirabilis'а. :-)

:)) До организации мне пока далеко :) Пока строю сеть только у себя в подъезде :))

> > Разбираюсь с настройкой iptables. В связи с этим возникло
> > пара вопросов. Я пробую ограничить использование сети только
> > протоколами http и ftp. (я только разбираюсь с настройкой,
> > поэтому целесообразность подобного шага не обсуждается :))
> > Для этого выполняю следующие команды:
> 
> iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Это правило у меня есть. Без него вообще ничего не загружается :))

> 
> > iptables -A INPUT -p TCP -m multiport --sport 21,80 -j ACCEPT
> 
> iptables -A INPUT -p TCP -m multiport --sport 20,21,80 -j ACCEPT

Так и сделал

> 
> > iptables -A INPUT -p TCP -j REJECT
> 
> Для использования функциональности этого модуля необходимо
> задействовать правила с использованием модулья state и фильтровать
> соответствующие состояния соединений.

Это я понял. Насколько я понял из tutorial, если их не фильтровать, то вообще ничего не загрузится (политика по умолчанию для всех цепочек DROP). Поэтому это правило присутствует. Но именно фтп не работает. То есть клиент соединяется, проходит авторизацию и чего-то ждет.

----------
С уважением, Juveman