[Comm] Re: iptables

Ср Фев 25 12:38:12 MSK 2004

Alexey Morsov wrote:
> 
> Michael Shigorin wrote:
> 
>> On Tue, Feb 24, 2004 at 07:52:12PM +0300, Alexey Morsov wrote:
>>
>>> но как только я делаю
>>> iptables -P FORWARD DROP
>>
>>
>>
>> 1) для отладки это не лучшая мысль;
> 
> Да это понятно - но вроде как во всех примерах с сайта iptables именно с 
> -P DROP и начинаеться
> 
>> 2) если не стоит задача минимизации паразитного трафика -- более
>>    кошерно -P ACCEPT с финальным прыгом в цепочку вида:
>>
>> -A tcprules -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
>> -A tcprules -i ! eth1 -m state --state NEW -j ACCEPT
>> -A tcprules -i eth1 -m state --state INVALID,NEW -j DROP
>> -A tcprules -i eth1 -j REJECT --reject-with icmp-host-unreachable
>>
>>
>>> а потом разрешаю что надо - то все работает но почта не ходит...
>>
>>
>>
>> а ее точно разрешено?  -F и все с начала?
> 
> Вы знаете -- я делал цепочки проще, такого вот плана:
> 
> -P FORWARD ACCEPT
> -A FORWARD -s $mynet -d $local_proxy --dport 3128 -j ACCEPT
> -A FORWARD -s $mynet -d $my_www -p tcp - j ACCEPT
> -A FORWARD -s $mynet -d ! $mymail -p tcp -j DROP
> 
> и все крутилось - т.е. в инет хожу через adsl а почту забираю с 
> локального почтовика (фигли его через инет гонять когда он рядом стоит - 
> плюс он за циской - и извне на ней 25 порт прикрыт)
> 
> А вот от обратного не получаеться....
> Т.е. судя по всему mail пытаеться установить сеанс а отклика не проходит 
> -- вот он и обламываеться
> 
> 
Так всётаки, Вы при запретительной политике свой почтовый трафик 
разрешили?

-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   265-7824            Department of Gas Electronics
Fax:   (380-44)   265-2329             Institute of Physics of NASU
*********************************************************************