[Comm] Re: iptables

Andriy Dobrovol's'kii =?iso-8859-1?q?dobr_=CE=C1_iop=2Ekiev=2Eua?=
Ср Фев 25 13:13:31 MSK 2004 

Alexey Morsov wrote:
> 
> Andriy Dobrovol's'kii wrote:
> 
>> Alexey Morsov wrote:
>>
>>>
>>> Michael Shigorin wrote:
>>>
>>>> On Tue, Feb 24, 2004 at 07:52:12PM +0300, Alexey Morsov wrote:
>>>>
>>>>> но как только я делаю
>>>>> iptables -P FORWARD DROP
>>>>
>>>>
>>>>
>>>>
>>>>
>>>> 1) для отладки это не лучшая мысль;
>>>
>>>
>>>
>>> Да это понятно - но вроде как во всех примерах с сайта iptables 
>>> именно с -P DROP и начинаеться
>>>
>>>> 2) если не стоит задача минимизации паразитного трафика -- более
>>>>    кошерно -P ACCEPT с финальным прыгом в цепочку вида:
>>>>
>>>> -A tcprules -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
>>>> -A tcprules -i ! eth1 -m state --state NEW -j ACCEPT
>>>> -A tcprules -i eth1 -m state --state INVALID,NEW -j DROP
>>>> -A tcprules -i eth1 -j REJECT --reject-with icmp-host-unreachable
>>>>
>>>>
>>>>> а потом разрешаю что надо - то все работает но почта не ходит...
>>>>
>>>>
>>>>
>>>>
>>>>
>>>> а ее точно разрешено?  -F и все с начала?
>>>
>>>
>>>
>>> Вы знаете -- я делал цепочки проще, такого вот плана:
>>>
>>> -P FORWARD ACCEPT
>>> -A FORWARD -s $mynet -d $local_proxy --dport 3128 -j ACCEPT
>>> -A FORWARD -s $mynet -d $my_www -p tcp - j ACCEPT
>>> -A FORWARD -s $mynet -d ! $mymail -p tcp -j DROP
>>>
>>> и все крутилось - т.е. в инет хожу через adsl а почту забираю с 
>>> локального почтовика (фигли его через инет гонять когда он рядом 
>>> стоит - плюс он за циской - и извне на ней 25 порт прикрыт)
>>>
>>> А вот от обратного не получаеться....
>>> Т.е. судя по всему mail пытаеться установить сеанс а отклика не 
>>> проходит -- вот он и обламываеться
>>>
>>>
>> Так всётаки, Вы при запретительной политике свой почтовый трафик 
>> разрешили?
> 
> Вы знаете - с помощью:
> -P FORWARD DROP
> -A FORWARD -i eth0 -j ACCEPT
> почта ходит - но инет не работает.. странно это все
> 
> 
Алексей, если Вы и дальше будете бросаться отдельными кусками, 
помочь Вам будет практически невозможно. Это единственные два 
правила и больше ничего нет? Какая конфигурация системы? Куда 
смотрит эта карта? (Обычно, процесс обмена двусторонний. Нужно 
разрешать обмен по нужному каналу в обе стороны.)

-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   265-7824            Department of Gas Electronics
Fax:   (380-44)   265-2329             Institute of Physics of NASU
*********************************************************************

Подробная информация о списке рассылки community