From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <hmepas@yauza.ru>
Message-ID: <43D6C7F7.8050700@yauza.ru>
Date: Wed, 25 Jan 2006 03:36:07 +0300
From: "Pavel S. Khmelinsky" <hmepas@yauza.ru>
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.6) Gecko/20050328
X-Accept-Language: ru, en-us, en
MIME-Version: 1.0
To: maniakius@mail.ru,
	ALT Linux Community <community@lists.altlinux.org>
Subject: Re: [Comm] =?KOI8-R?Q?=C2=CF=CC=D8=DB=CF=CA_=D4=D2=C1=C6=C9=CB?=
References: <200601240816.36217.maniakius@mail.ru> <43D65069.8030300@mail.ru>
	<200601250817.53428.maniakius@mail.ru>
In-Reply-To: <200601250817.53428.maniakius@mail.ru>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Cc: 
X-BeenThere: community@lists.altlinux.org
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: ALT Linux Community <community@lists.altlinux.org>
List-Id: ALT Linux Community <community.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/community>
List-Post: <mailto:community@lists.altlinux.org>
List-Help: <mailto:community-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Wed, 25 Jan 2006 02:41:04 -0000
Archived-At: <http://lore.altlinux.org/community/43D6C7F7.8050700@yauza.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>



Прончаков Артем Юрьевич wrote:

>В сообщении от Среда 25 Январь 2006 00:06 Michael Popov написал(a):
>  
>
>>У вас случаем не squid?
>>Если да, то посмотрите конфиг, особенно http_port.
>>По-хорошему, squid должен слушать только внутреннюю сеть.
>>Примерно так:
>>http_port 192.168.0.1:3128
>>
>>А то есть подозрение, что юзают ваш проксик.
>>    
>>
>
>Не, сквида нет. Пока. Но за совет на счет порта, спасибо, запомню!
>В общем файрволом запретил все кроме пинга, http, ftp, dns, icq, почта, ну и 
>т.д., т.е. все что необходимо. Ночь простоял, все нормально. Ничего лишнего 
>передано не было.
>
>Кстати, я так понимаю если DROP, то не будет отправляться ответный пакет, мол 
>порт недоступен, а если RETURN, то будет, правильно?
>  
>
И да и нет. Насчет DROP верно. Насчет RETURN нет. RETURN это директива 
файерволу вернуться в предыдущую таблицу и начать проверку правил 
начиная с правила, следующего, за тем, которое явилось причиной 
попадания в текущую таблицу. ;))))) Не очень понятно наверное 
выразился..... На примере
1: iptables -A INPUT -j MYOWNTABLE
2: iptables -A INPUT -j ACCEPT
3: iptables -A MYOWNTABLE -s $trusted_host -j RETURN
4: iptables -A MYOWNTABLE -j DROP

Т.е. маршрут по правивам будет следующий:
1, далее 3 (т.к. -j MYOWNTABLE),
    далее
        если source_host = $trusted_host, то 2 (т.е. возвращаемся к 
след. строке после вызова текущей таблицы)
        иначе, 4, т.е. DROP.

Такая цепочка будет пропускать на вход только хост $trusted_host. В 
каких случаях целесообразно использовать RETURN догадаетесь сами. ;)

А то что вы говорите (icmp connection refused) это REJECT. ( Возможно Вы 
просто описались.)

-- 
Pavel S. Khmelinsky <hmepas@yauza.ru>
System Administrator,
ISP Yauza Telecom
http://www.yauza.ru