[Comm] Re: Linux Gate

[Денис Смирнов]

On Sat, Nov 29, 2003 at 12:29:44PM +0200, Michael Shigorin wrote:
 >>>>> -A INPUT -m state --state INVALID,NEW -j DROP
 >>>> Хм. Зачем?
 >>> Затем, чтоб народное творчество обламывалось почаще.
 >> ?
 > Ну, всякие неправильные самопальные IP-пакеты с левыми
 > заголовками.

Тогда NEW зачем?

У меня обычно первое правило в цепочке это "пропускать по установленым
соединениям", второе -- "дропать все INVALID пакеты". Дальше уже в
зависимости от ситуации. INVALID иногда не только дропаю, но ещё и в лог
отправляю.

 > >  > >  >> /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 > >  > >  > Это если и изнутри не все выпускать, тогда осмысленно.
 > >  > >  > И то как раз тогда -- не всегда =)
 > >  > > А почему как раз тогда не всегда?
 > >  > В смысле "как раз тогда -- не всегда ACCEPT" :-)
 > > Я понял. Но не понял почему и зачем не делать ACCEPT на уже
 > > установленые соединения?
 > Этого и я не понял.  А добавил -- насчет того, _почему_ им
 > позволять или нет быть установленными.

Ясно.
 
-- 
С уважением, Денис

http://freesource.info