From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: Igor Tertishny To: community@altlinux.ru Date: Tue, 19 Oct 2004 14:34:04 +0200 User-Agent: KMail/1.7.1 Organization: Home MIME-Version: 1.0 Content-Type: text/plain; charset="koi8-r" Content-Transfer-Encoding: 8bit Content-Disposition: inline Message-Id: <200410191434.05095.rassil@elterrus.org> Subject: [Comm] =?koi8-r?b?8NLP29Ug0M/Nz97YINMgzsHT1NLPysvPyiDGwcrF0tfP?= =?koi8-r?b?zMzB?= X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 19 Oct 2004 12:33:35 -0000 Archived-At: List-Archive: List-Post: Здравствуйте все! Я столкнулся с проблемой. У меня небольшая сеть, раздающая клиентам интернет и иные сервисы. Многие качают файлы с помощью edonkey. Но стоящим за сервером (за файерволлом) клиентам сервера edonkey выдают только самый низший приоритет (lowid). Маскарадинг включен и почему так происходит понять не могу. Знаю, что нужно открыть порты по списку. Открывал в файерволле вообще все, не помогает. Клиенты дергают - сделай, другие же делают. А я просто не знаю как, увы мне. Файерволл уже поставил простейший, но снова ничего не дало. Он ниже. Прошу подсказать как открыть порт 4661, например, чтобы сервер edonkey и не догадывался, что ним коннектит не мой сервер, а стоящий за ним клиент. Ведь если я ставлю осла на моем сервере, то все работает как положено. Но не держать же его на сервере? нонсенс ведь. Ниже мой файерволл. Понимаю, что полный примитив, но даже с ним проблемы. Заранее благодарен за помощь. # Включаем маршрутизацию пакетов. echo 1 > /proc/sys/net/ipv4/ip_forward # Interface to Internet EXTIF=ppp+ ANY=0.0.0.0/0 #iptables -F #Очистка таблицы преобразования адресов. iptables -t nat -F iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD # Syn-flood protection. # Защита от Syn-flood. iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT # Furtive port scanner. # Защита от скрытого сканирования портов. iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT # Ping of death. # Защита от Ping of death. iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT # Deny NEW end INVALID incoming or required routings packets from ppp0. # Запрещаем NEW и INVALID входящие или требующие маршрутизации пакеты с ppp0. iptables -A INPUT -i $EXTIF -m state --state NEW,INVALID -j DROP iptables -A FORWARD -i $EXTIF -m state --state NEW,INVALID -j DROP # Allow a packets which is related to, and part of an existing connection. # Разрешаем пакеты принадлежащие и относящиеся к уже установленному соединению. iptables -N block iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A block -m state --state NEW -i ! $EXTIF -j ACCEPT iptables -A block -j DROP iptables -A INPUT -j block iptables -A FORWARD -j block # Do masquerading. # Маскарадим ppp0. iptables -t nat -A POSTROUTING -j MASQUERADE -s 192.168.0.0/24 -o ppp0 iptables -A INPUT -p tcp --dport 80 -j ACCEPT #Разрешаем конектится из локальной сети к любому сервису iptables -A INPUT -s 192.168.0.0/24 -i $EXTIF -j ACCEPT #Разрешаем приходить и форвадится связанным пакетам (которые являются ответами на запросы) iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT