[Comm] Re: Linux Gate

Michael Shigorin =?iso-8859-1?q?mike_=CE=C1_osdn=2Eorg=2Eua?=
Сб Ноя 29 00:59:46 MSK 2003 

On Thu, Nov 27, 2003 at 02:49:09PM +0300, Денис Смирнов wrote:
>  > >  > Напишите такиеже 3-4 строчки для ftp доступа куданьть
>  > >  > плиз, не поленитесь...
>  > > /sbin/iptables -A INPUT  -m state --state ESTABLISHED,RELATES -j ACCEPT
>  > Еще полезно
>  > -A INPUT -m state --state INVALID,NEW -j DROP
> Хм. Зачем?

Затем, чтоб народное творчество обламывалось почаще.

>  > и в конце (при этом chain policy == ACCEPT)
>  > -A INPUT -j REJECT --reject-with icmp-host-unreachable
> А policy == ACCEPT зачем?

Чтоб добраться до -j REJECT, ессно :-)

>  > -- если не требуется именно дропать (большой паразитный трафик),
>  > то это сделает наш файрвол внешне неотличимым от просто
>  > открытых/закрытых портов.
> Я так делаю везде, где это внутри сети (то есть где траффик не
> считается и денег не стоит). На INPUT с интерфейса идущего в
> интернет у меня везде -j DROP.

У меня -- зависит.

>  >> /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATES -j ACCEPT
>  > Это если и изнутри не все выпускать, тогда осмысленно.  И то
>  > как раз тогда -- не всегда =)
> А почему как раз тогда не всегда?

В смысле "как раз тогда -- не всегда ACCEPT" :-)

> Изнутри я, бывает, не всех и не везде пускаю.

Ну да, особенно на 25-й порт наружу.

>  > Кстати.  Есть мысль, что если нет болтающегося identd --
>  > осмысленно сделать так для избежания таймаутов тех, кто пытается
>  > в него стучаться (sendmail, ssh, ...):
>  > -A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset
>  > PS: все это легко находится гооглем :)
> Есть такое дело. Каждый раз забываю, потом каждый раз с
> матюками прописываю :)

Ну лучше без матюков, чтоб системные утилиты не смущать
непривычным синтаксисом да окружение не портить.  

Но наступить на грабли, не включив net.ipv4.ip_forward в
/etc/sysctl.conf -- это тоже любимое :))))))

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20031128/395400d1/attachment-0002.bin>

Подробная информация о списке рассылки community