[Comm] Re: iptables
Alexey Morsov
=?iso-8859-1?q?samurai_=CE=C1_ricom=2Eru?=
Ср Фев 25 12:39:02 MSK 2004
Andriy Dobrovol's'kii wrote:
> Alexey Morsov wrote:
>
>>
>> Michael Shigorin wrote:
>>
>>> On Tue, Feb 24, 2004 at 07:52:12PM +0300, Alexey Morsov wrote:
>>>
>>>> но как только я делаю
>>>> iptables -P FORWARD DROP
>>>
>>>
>>>
>>>
>>> 1) для отладки это не лучшая мысль;
>>
>>
>> Да это понятно - но вроде как во всех примерах с сайта iptables именно
>> с -P DROP и начинаеться
>>
>>> 2) если не стоит задача минимизации паразитного трафика -- более
>>> кошерно -P ACCEPT с финальным прыгом в цепочку вида:
>>>
>>> -A tcprules -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
>>> -A tcprules -i ! eth1 -m state --state NEW -j ACCEPT
>>> -A tcprules -i eth1 -m state --state INVALID,NEW -j DROP
>>> -A tcprules -i eth1 -j REJECT --reject-with icmp-host-unreachable
>>>
>>>
>>>> а потом разрешаю что надо - то все работает но почта не ходит...
>>>
>>>
>>>
>>>
>>> а ее точно разрешено? -F и все с начала?
>>
>>
>> Вы знаете -- я делал цепочки проще, такого вот плана:
>>
>> -P FORWARD ACCEPT
>> -A FORWARD -s $mynet -d $local_proxy --dport 3128 -j ACCEPT
>> -A FORWARD -s $mynet -d $my_www -p tcp - j ACCEPT
>> -A FORWARD -s $mynet -d ! $mymail -p tcp -j DROP
>>
>> и все крутилось - т.е. в инет хожу через adsl а почту забираю с
>> локального почтовика (фигли его через инет гонять когда он рядом стоит
>> - плюс он за циской - и извне на ней 25 порт прикрыт)
>>
>> А вот от обратного не получаеться....
>> Т.е. судя по всему mail пытаеться установить сеанс а отклика не
>> проходит -- вот он и обламываеться
>>
>>
> Так всётаки, Вы при запретительной политике свой почтовый трафик разрешили?
Вы знаете - с помощью:
-P FORWARD DROP
-A FORWARD -i eth0 -j ACCEPT
почта ходит - но инет не работает.. странно это все
>
Подробная информация о списке рассылки community