[Comm] ICQ

Пт Апр 16 17:27:42 MSD 2004

Polovnikov Denis <altlinux на lg-support.ru> writes:

> Здравствуйте, Maxim.
>
> Вы писали 16 апреля 2004 г., 17:06:42:
>
> MT> Polovnikov Denis <altlinux на lg-support.ru> writes:
>
>>> Здравствуйте, Nizamov.
>>>
>>> Вы писали 16 апреля 2004 г., 16:08:44:
>>>
>>>>>>> host login.icq.com
>>>>>>> Все полученные ip запретить в output
>>>>>
>>>>> Это геморойно получается тоды придется прописывать к 4 правилам на
>>>>> запрет еще 4 на разрешение для меня :-)
>>>
>>> -A OUTPUT -d 64.12.161.153 -j DROP
>>> -A OUTPUT -d 64.12.161.185 -j DROP
>>> -A OUTPUT -d 64.12.200.89 -j DROP
>>> -A OUTPUT -d 205.188.179.233 -j DROP
>>>
>>> прописываю правила на запрет и нефига не понимаю эти ip без проблем
>>> пингуются и аська на них конектится :-(
>
> MT> У тебя NAT?
> MT> Если да то писать это нужно в FORWARD
>
> Да нат.
>
> Пробовал в FORWARD тоже самое ни какого эфекта. У меня форвард закрыт
> кроме вот этих случаев.
> -A FORWARD -m state -i eth1 -o eth0 --state RELATED,ESTABLISHED -j ACCEPT
> -A FORWARD -i eth0 -o eth1 -j ACCEPT

> -A FORWARD -i ppp+ -o eth0 -j ACCEPT
> -A FORWARD -i eth0 -o ppp+ -j ACCEPT

Эти 2 правила разрешают любой транспорт в/из Инета насколько я понимаю
(ppp у вас в Инет идет?)

Нужно запрещающее ICQ правило ставить в начале.

А еще лучше почитать iptables tutorial - там есть порядок прохождения цепочек.

> -A FORWARD -j LOG  --log-prefix "DROP"
>
> в таблицу nat тоже писал всеравно пинг есть.

Пинг идет ICMP пакетами.

-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll на jabber.pibhe.com