[Comm] Re: Linux Gate

[Michael Shigorin]

On Sat, Nov 29, 2003 at 08:00:32AM +0300, Денис Смирнов wrote:
> >>>>> Напишите такиеже 3-4 строчки для ftp доступа куданьть
> >>>>> плиз, не поленитесь...
> >>>> /sbin/iptables -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
> >>> Еще полезно
> >>> -A INPUT -m state --state INVALID,NEW -j DROP
> >> Хм. Зачем?
> > Затем, чтоб народное творчество обламывалось почаще.
> ?

Ну, всякие неправильные самопальные IP-пакеты с левыми
заголовками.

>  > >  >> /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>  > >  > Это если и изнутри не все выпускать, тогда осмысленно.
>  > >  > И то как раз тогда -- не всегда =)
>  > > А почему как раз тогда не всегда?
>  > В смысле "как раз тогда -- не всегда ACCEPT" :-)
> Я понял. Но не понял почему и зачем не делать ACCEPT на уже
> установленые соединения?

Этого и я не понял.  А добавил -- насчет того, _почему_ им
позволять или нет быть установленными.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/