[Comm] Re: Linux Gate

[Michael Shigorin]

On Thu, Nov 27, 2003 at 07:04:52AM +0300, Денис Смирнов wrote:
>  > Напишите такиеже 3-4 строчки для ftp доступа куданьть
>  > плиз, не поленитесь...
> /sbin/iptables -A INPUT  -m state --state ESTABLISHED,RELATES -j ACCEPT

Еще полезно

-A INPUT -m state --state INVALID,NEW -j DROP

и в конце (при этом chain policy == ACCEPT)

-A INPUT -j REJECT --reject-with icmp-host-unreachable

-- если не требуется именно дропать (большой паразитный трафик),
то это сделает наш файрвол внешне неотличимым от просто
открытых/закрытых портов.

> /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATES -j ACCEPT

Это если и изнутри не все выпускать, тогда осмысленно.  И то как
раз тогда -- не всегда =)

> /sbin/iptables -A OUTPUT -p tcp -d 10.50.18.0/24 --dport 21 -j ACCEPT
> 
> То есть если пакет принадлежит к уже установленому соединению --
> пропустить. Если пакет это установка ftp-соединения -- пропустить.

Ну и подгрузить ip_conntrack_ftp не забыть все же.

Кстати.  Есть мысль, что если нет болтающегося identd --
осмысленно сделать так для избежания таймаутов тех, кто пытается
в него стучаться (sendmail, ssh, ...):

-A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset

PS: все это легко находится гооглем :)

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/