[Comm] Re: Linux Gate
Денис Смирнов
=?iso-8859-1?q?mithraen_=CE=C1_freesource=2Einfo?=
Чт Ноя 27 14:49:09 MSK 2003
On Thu, Nov 27, 2003 at 10:07:09AM +0200, Michael Shigorin wrote:
> > > Напишите такиеже 3-4 строчки для ftp доступа куданьть
> > > плиз, не поленитесь...
> > /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATES -j ACCEPT
> Еще полезно
> -A INPUT -m state --state INVALID,NEW -j DROP
Хм. Зачем?
> и в конце (при этом chain policy == ACCEPT)
> -A INPUT -j REJECT --reject-with icmp-host-unreachable
А policy == ACCEPT зачем?
> -- если не требуется именно дропать (большой паразитный трафик),
> то это сделает наш файрвол внешне неотличимым от просто
> открытых/закрытых портов.
Я так делаю везде, где это внутри сети (то есть где траффик не считается
и денег не стоит). На INPUT с интерфейса идущего в интернет у меня везде
-j DROP.
>> /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATES -j ACCEPT
> Это если и изнутри не все выпускать, тогда осмысленно. И то как
> раз тогда -- не всегда =)
А почему как раз тогда не всегда?
Изнутри я, бывает, не всех и не везде пускаю.
> > /sbin/iptables -A OUTPUT -p tcp -d 10.50.18.0/24 --dport 21 -j ACCEPT
> > То есть если пакет принадлежит к уже установленому соединению --
> > пропустить. Если пакет это установка ftp-соединения -- пропустить.
> Ну и подгрузить ip_conntrack_ftp не забыть все же.
Да.
> Кстати. Есть мысль, что если нет болтающегося identd --
> осмысленно сделать так для избежания таймаутов тех, кто пытается
> в него стучаться (sendmail, ssh, ...):
> -A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset
> PS: все это легко находится гооглем :)
Есть такое дело. Каждый раз забываю, потом каждый раз с матюками
прописываю :)
--
С уважением, Денис
http://freesource.info
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/community/attachments/20031127/5dad0f27/attachment-0002.bin>
Подробная информация о списке рассылки community