From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <dima@sakhalin.ru>
Date: Sat, 29 May 2004 21:22:00 +1100
From: Dmitry Lebkov <dima@sakhalin.ru>
To: community@altlinux.ru
Subject: Re: [Comm] =?KOI8-R?Q?=F0=CF=CD=CF=C7=C9=D4=C5_=D2=C1=DA=CF=C2=D2?=
	=?KOI8-R?Q?=C1=D4=D8=D3=D1_=D3?= iptables
Message-Id: <20040529212200.0b148d4f.dima@sakhalin.ru>
In-Reply-To: <20040529123446.0b22ec48@juveman.pyat.atom.ru>
References: <20040529123446.0b22ec48@juveman.pyat.atom.ru>
X-Mailer: Sylpheed version 0.9.10 (GTK+ 1.2.10; i586-alt-linux-gnu)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: community@altlinux.ru
List-Id: Mailing list for ALT Linux users <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Sat, 29 May 2004 10:21:24 -0000
Archived-At: <http://lore.altlinux.org/community/20040529212200.0b148d4f.dima@sakhalin.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Sat, 29 May 2004 12:34:46 +0400
Juveman <juveman@atom.ru> wrote:

> Разбираюсь с настройкой iptables. В связи с этим возникло
> пара вопросов. Я пробую ограничить использование сети только
> протоколами http и ftp. (я только разбираюсь с настройкой,
> поэтому целесообразность подобного шага не обсуждается :))
> Для этого выполняю следующие команды:

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

> iptables -A INPUT -p TCP -m multiport --sport 21,80 -j ACCEPT

iptables -A INPUT -p TCP -m multiport --sport 20,21,80 -j ACCEPT

> iptables -A INPUT -p TCP -j REJECT

> И вот здесь начинается самое интересное. Отрубаются практически
> все сетевые программы. Работает только браузер (в принципе как
> и было задумано). Но не работает ftp. То есть соединение с
> сервером происходит, успешно проходит авторизация (если нужна),
> но список файлов и каталогов фтп-клиент не получает. Начитавшись
> iptables-tutorial, разрешаю еще соединения с 20 порта. Ничего не
> меняется.
> Там же в iptables-tutorial написано, что для с фтп через файерволл
> требуется дополнительный модуль ip_conntrack_ftp.
> Выполняю modprobe -l 
> /lib/modules/2.6.3-7mdk/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko.gz
> Насколько я понимаю, этот модуль загружен. 

Для использования функциональности этого модуля необходимо
задействовать правила с использованием модулья state и фильтровать
соответствующие состояния соединений.

> До введения этих правил соединения с фтп серверами проходили нормально.
> Подскажите, пожалуйста, как все-таки заставить работать фтп при таких
> настройках. И еще. Очень мне понравились действия icq, которая просто
> переползла на использование 80 порта (если верить netstat) и,
> соответственно, спокойно соединилась с сервером :)) Ей как-нибудь
> можно заблокировать выход в сеть?

Блокировкой всех ip-адресов login.icq.com?

--
WBR, Dmitry Lebkov