From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: "Denis G. Samsonenko" Subject: Re: [Comm] firewall To: community@altlinux.ru X-Mailer: CommuniGate Pro Web Mailer v.3.4.8 Date: Wed, 05 Mar 2003 14:40:50 +0600 Message-ID: In-Reply-To: <20030305071842.GA6420@mrkooll.tdr.pibhe.com> MIME-Version: 1.0 Content-Type: text/plain; charset="KOI8-R" Content-Transfer-Encoding: 8bit Sender: community-admin@altlinux.ru Errors-To: community-admin@altlinux.ru X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.0.9 Precedence: bulk Reply-To: community@altlinux.ru List-Unsubscribe: , List-Id: List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: List-Post: Привет! On Wed, 5 Mar 2003 09:18:43 +0200 Maxim Tyurin wrote: > У тебя первой строкой в INPUT - разрешить все новые > соединения. > Читай iptables tutirial внимательно. > > Chain INPUT (policy DROP) > > target prot opt source destination > > bad_tcp_packets tcp -- anywhere anywhere > Разрешаются все новые соединения На сколько я понял, прочитав доки, tcp пакеты здесь отправляются в цепочку bad_tcp_packets и там проверяются на соответствующие флаги. То, что в этой цепочке не отбрасывается, возвращается в INPUT, по достижении конца bad_tcp_packets. Далее, через несколько правил, tcp пакеты идут в цепочку tcp_packets и там отсеиваются по портам (разрешены 21, 22, 80, 113) и поступают в цепочку allowed, где происходит последняя проверка. Пакеты, предназначенные для других портов, возвращаются в INPUT, а там им приходит DROP из-за политики по умолчанию. Вот, вроде бы так. Или я что-то путаю? Best regards, Denis. ---------- earthsea@ngs.ru ____________________________________________________________ Новое на НГС: 12 марта День рождения НГС! Приглашаем в клуб RockCity. Начало в 19.00. Подробности по адресу http://www.stonehouse.ru/news/56512/ http://auction.ngs.ru - НГС Аукцион!