From: "Pavel S. Khmelinsky" <hmepas@yauza.ru>
To: maniakius@mail.ru, ALT Linux Community <community@lists.altlinux.org>
Subject: Re: [Comm] большой трафик
Date: Wed, 25 Jan 2006 03:36:07 +0300
Message-ID: <43D6C7F7.8050700@yauza.ru> (raw)
In-Reply-To: <200601250817.53428.maniakius@mail.ru>
Прончаков Артем Юрьевич wrote:
>В сообщении от Среда 25 Январь 2006 00:06 Michael Popov написал(a):
>
>
>>У вас случаем не squid?
>>Если да, то посмотрите конфиг, особенно http_port.
>>По-хорошему, squid должен слушать только внутреннюю сеть.
>>Примерно так:
>>http_port 192.168.0.1:3128
>>
>>А то есть подозрение, что юзают ваш проксик.
>>
>>
>
>Не, сквида нет. Пока. Но за совет на счет порта, спасибо, запомню!
>В общем файрволом запретил все кроме пинга, http, ftp, dns, icq, почта, ну и
>т.д., т.е. все что необходимо. Ночь простоял, все нормально. Ничего лишнего
>передано не было.
>
>Кстати, я так понимаю если DROP, то не будет отправляться ответный пакет, мол
>порт недоступен, а если RETURN, то будет, правильно?
>
>
И да и нет. Насчет DROP верно. Насчет RETURN нет. RETURN это директива
файерволу вернуться в предыдущую таблицу и начать проверку правил
начиная с правила, следующего, за тем, которое явилось причиной
попадания в текущую таблицу. ;))))) Не очень понятно наверное
выразился..... На примере
1: iptables -A INPUT -j MYOWNTABLE
2: iptables -A INPUT -j ACCEPT
3: iptables -A MYOWNTABLE -s $trusted_host -j RETURN
4: iptables -A MYOWNTABLE -j DROP
Т.е. маршрут по правивам будет следующий:
1, далее 3 (т.к. -j MYOWNTABLE),
далее
если source_host = $trusted_host, то 2 (т.е. возвращаемся к
след. строке после вызова текущей таблицы)
иначе, 4, т.е. DROP.
Такая цепочка будет пропускать на вход только хост $trusted_host. В
каких случаях целесообразно использовать RETURN догадаетесь сами. ;)
А то что вы говорите (icmp connection refused) это REJECT. ( Возможно Вы
просто описались.)
--
Pavel S. Khmelinsky <hmepas@yauza.ru>
System Administrator,
ISP Yauza Telecom
http://www.yauza.ru
next prev parent reply other threads:[~2006-01-25 0:36 UTC|newest]
Thread overview: 12+ messages / expand[flat|nested] mbox.gz Atom feed top
2006-01-24 0:16 Прончаков Артем Юрьевич
2006-01-24 5:59 ` rs
2006-01-24 6:07 ` rs
2006-01-27 0:03 ` Прончаков Артем Юрьевич
2006-01-27 0:14 ` Прончаков Артем Юрьевич
2006-01-24 16:06 ` Michael Popov
2006-01-25 0:17 ` Прончаков Артем Юрьевич
2006-01-25 0:36 ` Pavel S. Khmelinsky [this message]
2006-01-25 7:43 ` Прончаков Артем Юрьевич
2006-01-25 9:56 ` Aleksey Avdeev
2006-01-25 10:07 ` Прончаков Артем Юрьевич
2006-01-31 7:19 ` Прончаков Артем
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=43D6C7F7.8050700@yauza.ru \
--to=hmepas@yauza.ru \
--cc=community@lists.altlinux.org \
--cc=maniakius@mail.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git