[Comm] Re: iptables

[Alexey Morsov]

Michael Shigorin wrote:

> On Tue, Feb 24, 2004 at 07:52:12PM +0300, Alexey Morsov wrote:
> 
>>но как только я делаю
>>iptables -P FORWARD DROP
> 
> 
> 1) для отладки это не лучшая мысль;
Да это понятно - но вроде как во всех примерах с сайта iptables 
именно с -P DROP и начинаеться

> 2) если не стоит задача минимизации паразитного трафика -- более
>    кошерно -P ACCEPT с финальным прыгом в цепочку вида:
> 
> -A tcprules -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A tcprules -i ! eth1 -m state --state NEW -j ACCEPT
> -A tcprules -i eth1 -m state --state INVALID,NEW -j DROP
> -A tcprules -i eth1 -j REJECT --reject-with icmp-host-unreachable
> 
> 
>>а потом разрешаю что надо - то все работает но почта не ходит...
> 
> 
> а ее точно разрешено?  -F и все с начала?
Вы знаете -- я делал цепочки проще, такого вот плана:

-P FORWARD ACCEPT
-A FORWARD -s $mynet -d $local_proxy --dport 3128 -j ACCEPT
-A FORWARD -s $mynet -d $my_www -p tcp - j ACCEPT
-A FORWARD -s $mynet -d ! $mymail -p tcp -j DROP

и все крутилось - т.е. в инет хожу через adsl а почту забираю с 
локального почтовика (фигли его через инет гонять когда он рядом 
стоит - плюс он за циской - и извне на ней 25 порт прикрыт)

А вот от обратного не получаеться....
Т.е. судя по всему mail пытаеться установить сеанс а отклика не 
проходит -- вот он и обламываеться