=?iso-8859-1?q?=5Bmdk-re=5D_iptables_=C9_postfix?=

[Roman S]

Цитирую John <john на rmts.donpac.ru>:

> Roman S wrote:
> 
> >>>iptables -P INPUT DROP
> >>>iptables -P OUTPUT DROP
> >>>iptables -P FORWARD DROP
> >>>iptables -A INPUT -i ppp0 -p TCP --dport smtp -j
ACCEPT
> >>>iptables -A INPUT -o ppp0 -p TCP --sport smtp -j
ACCEPT
> >>>
> >
> >Во первых:
> >Почему вы думаете, что исходящий трафик на SMTP пойдёт
> >с 25-го порта? Это не так.
> >
> А с какого?
C > 1024.
Общая политика должна быть такова (как _упрощенный_
вариант):
Входящий трафик
1) Запрещено всё кроме дальнейшего:
2) 0-1024 - открыто выборочно, по необходимости, что-то
может только с определённых адресов...
3) Открыт (при необходимости) в диапазоне >1024
диапазон для traceroute и прочих служб, по перечню.

Исходящий:
Как входящий, но:
Открыты порты > 1024, за вычетом портов по списку,
которым не положено.

> >
> >
> >Во вторых:
> >Откройте DNS.


Rgds!
Roman Savelyev