Re: [Comm] Re: Помогите разобраться с iptables

ALT Linux Community general discussions
 help / color / mirror / Atom feed

From: Dmitry Lebkov <dima@sakhalin.ru>
To: community@altlinux.ru
Subject: Re: [Comm] Re: Помогите разобраться с iptables
Date: Sat, 29 May 2004 23:08:21 +1100
Message-ID: <20040529230821.74de4556.dima@sakhalin.ru> (raw)
In-Reply-To: <20040529153122.71762c5e@juveman.pyat.atom.ru>

On Sat, 29 May 2004 15:31:22 +0400
Juveman <juveman@atom.ru> wrote:

> > > Выполняю modprobe -l 
> > > /lib/modules/2.6.3-7mdk/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko.gz
> > > Насколько я понимаю, этот модуль загружен. 
> > 
> > lsmod подскажет точнее.
> 
> lsmod самой первой строкой выводит:
> Module                  Size  Used by
> ip_conntrack_ftp       71668  0
> 
> > > До введения этих правил соединения с фтп серверами проходили нормально. Подскажите, пожалуйста, как все-таки заставить работать фтп при таких настройках. 
> > 
> > > И еще. Очень мне понравились действия icq, которая просто переползла
> > > на использование 80 порта (если верить netstat) и, соответственно,
> > > спокойно соединилась с сервером :)) Ей как-нибудь можно заблокировать
> > > выход в сеть?
> > 
> > Это не очень тривиально, но можно. А вообще в организации нужно держать
> > один прокси-сервер и запретить вообще наружу коннекты. А на прокси
> > открывается только http и ftp и персонально запрещаются все подсети
> > mirabilis'а. :-)
> 
> :)) До организации мне пока далеко :) Пока строю сеть только у себя в подъезде :))
> 
> > > Разбираюсь с настройкой iptables. В связи с этим возникло
> > > пара вопросов. Я пробую ограничить использование сети только
> > > протоколами http и ftp. (я только разбираюсь с настройкой,
> > > поэтому целесообразность подобного шага не обсуждается :))
> > > Для этого выполняю следующие команды:
> > 
> > iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> 
> Это правило у меня есть. Без него вообще ничего не загружается :))
> 
> > 
> > > iptables -A INPUT -p TCP -m multiport --sport 21,80 -j ACCEPT
> > 
> > iptables -A INPUT -p TCP -m multiport --sport 20,21,80 -j ACCEPT
> 
> Так и сделал
> 
> > 
> > > iptables -A INPUT -p TCP -j REJECT
> > 
> > Для использования функциональности этого модуля необходимо
> > задействовать правила с использованием модулья state и фильтровать
> > соответствующие состояния соединений.
> 
> Это я понял. Насколько я понял из tutorial, если их не фильтровать,
> то вообще ничего не загрузится (политика по умолчанию для всех цепочек
> DROP). Поэтому это правило присутствует. Но именно фтп не работает. То
> есть клиент соединяется, проходит авторизацию и чего-то ждет.

NAT или MASQUERADING используется? Выполни следующие команды:

# service iptables save
# cat /etc/sysconfig/iptables

и результаты сюда.

--
WBR, Dmitry Lebkov

next prev parent reply	other threads:[~2004-05-29 12:08 UTC|newest]

Thread overview: 4+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2004-05-29 11:31 ` Juveman
2004-05-29 12:08   ` Dmitry Lebkov [this message]
2004-06-13 15:24     ` Michael Shigorin
2004-05-31  5:11   ` Nikita Semenov

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=20040529230821.74de4556.dima@sakhalin.ru \
    --to=dima@sakhalin.ru \
    --cc=community@altlinux.ru \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git