From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Sat, 29 May 2004 21:16:30 +0400 From: Juveman To: community@altlinux.ru Message-Id: <20040529211630.2bd56520@juveman.pyat.atom.ru> In-Reply-To: <20040529151504.89F84E57EA@master.altlinux.ru> References: <20040529151504.89F84E57EA@master.altlinux.ru> X-Mailer: Sylpheed version 0.9.10claws (GTK+ 1.2.10; i686-pc-linux-gnu) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit Subject: [Comm] Re: =?koi8-r?b?8M/Nz8fJ1MUg0sHaz8LSwdTY09Eg0w==?= iptables X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 29 May 2004 17:12:33 -0000 Archived-At: List-Archive: List-Post: > > lsmod самой первой строкой выводит: > > Module Size Used by > > ip_conntrack_ftp 71668 0 > > > > > > > > iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT > > > > Это правило у меня есть. Без него вообще ничего не загружается :)) > > > > > > > > > iptables -A INPUT -p TCP -m multiport --sport 21,80 -j ACCEPT > > > > > > iptables -A INPUT -p TCP -m multiport --sport 20,21,80 -j ACCEPT > > > > Так и сделал > > > > > > > > > iptables -A INPUT -p TCP -j REJECT > > > > > > Для использования функциональности этого модуля необходимо > > > задействовать правила с использованием модулья state и фильтровать > > > соответствующие состояния соединений. > > > > Это я понял. Насколько я понял из tutorial, если их не фильтровать, > > то вообще ничего не загрузится (политика по умолчанию для всех цепочек > > DROP). Поэтому это правило присутствует. Но именно фтп не работает. То > > есть клиент соединяется, проходит авторизацию и чего-то ждет. > > NAT или MASQUERADING используется? Выполни следующие команды: Нет, с этим пока не разбирался. И необходимости не было. > > # service iptables save > # cat /etc/sysconfig/iptables > > и результаты сюда. > Вот результаты: cat /etc/sysconfig/iptables # Generated by iptables-save v1.2.9 on Sat May 29 20:53:21 2004 *filter :INPUT DROP [2740:387783] :FORWARD DROP [0:0] :OUTPUT DROP [818:58417] [18:1392] -A INPUT -i lo -j ACCEPT [299:102114] -A INPUT -p tcp -m multiport --sports 20,21,80 -j ACCEPT [101:6102] -A INPUT -p tcp -j REJECT --reject-with icmp-port-unreachable [12:2981] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT [27545:1169439] -A OUTPUT -o lo -j ACCEPT [678:51062] -A OUTPUT -s 10.0.222.8 -j ACCEPT COMMIT # Completed on Sat May 29 20:53:21 2004 Я еще не закончил правила писать, просто несколько раз уже переписывал все. При таких правилах реально работает только браузер и ICQ :)) Хотя должен, насколько я понимаю, еще и FTP. Пробовал поставить правило -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT вторым в цепочке INPUT до блокирования соединений со всех портов кроме 20,21,80. Тогда работает вообще все (в том числе и фтп). Как будто запрета tcp соединений нет вообще. Если я правильно понимаю, все дело в очередности прохождения этих правил? То есть у меня пакет, который приходит с 21 порта принимается и уже не проводится проверка его состояния? Так что ли? В общем у меня пока получается либо разрешить нужные мне протоколы (но тогда фтп не работает), либо сделать так, чтобы фтп работало (но тогда не получается запретить соединения по ненужным мне протоколам). Как-нибудь можно добиться и того, и другого? :)) Может с цепочкой INPUT похимичить? :)) ---------- С уважением, Juveman