[mdk-re] ipchains question

Пт Окт 19 13:06:27 MSD 2001

On Fri, 19 Oct 2001 12:11:05 +0400
"Volkov Serge" <vserge на menatepspb.msk.ru> wrote:

>> -A forward -p tcp -s 192.168.1.101/255.255.255.255 -d
>>0.0.0.0/0.0.0.0 
>> pop3 -j MASQ
>> Т.е. полько одна машина в сети (IP 192.168.1.101 - это
>>mail-сервер) 
>> может иметь доступ к внешним SMTP и POP3 серверам, все

> Нужно быть немного строже

> ipchains -P input DENY
> ipchains -P output DENY
> ipchains -P forward DENY
> ipchains -A input -s 192.168.1.0/255.255.255.0 -d 0/0 -j ACCEPT
> ipchains -A output -s 0/0 -d 192.168.1.0/255.255.255.0 -j
> ACCEPT
> ipchains -A forward -s 192.168.1.0/255.255.255.0 -d 0/0 -j MASQ

Поясните, чем Ваш вариант строже. Для критикуемого варианта
приведены, ведь, не все цепочки, и речь идёт о правах только
одной машины. В Вашем варианте - всех машин из внутренней сети.
____________
С уважением,
С.С.Скулаченко