[Comm] Re: iptables
Alexey Morsov
=?iso-8859-1?q?samurai_=CE=C1_ricom=2Eru?=
Ср Фев 25 13:35:28 MSK 2004
Andriy Dobrovol's'kii wrote:
> Alexey Morsov wrote:
>
>>
>> Andriy Dobrovol's'kii wrote:
>>
>>> Alexey Morsov wrote:
>>>
>>>>
>>>> Michael Shigorin wrote:
>>>>
>>>>> On Tue, Feb 24, 2004 at 07:52:12PM +0300, Alexey Morsov wrote:
>>>>>
>>>>>> но как только я делаю
>>>>>> iptables -P FORWARD DROP
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> 1) для отладки это не лучшая мысль;
>>>>
>>>>
>>>>
>>>>
>>>> Да это понятно - но вроде как во всех примерах с сайта iptables
>>>> именно с -P DROP и начинаеться
>>>>
>>>>> 2) если не стоит задача минимизации паразитного трафика -- более
>>>>> кошерно -P ACCEPT с финальным прыгом в цепочку вида:
>>>>>
>>>>> -A tcprules -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
>>>>> -A tcprules -i ! eth1 -m state --state NEW -j ACCEPT
>>>>> -A tcprules -i eth1 -m state --state INVALID,NEW -j DROP
>>>>> -A tcprules -i eth1 -j REJECT --reject-with icmp-host-unreachable
>>>>>
>>>>>
>>>>>> а потом разрешаю что надо - то все работает но почта не ходит...
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> а ее точно разрешено? -F и все с начала?
>>>>
>>>>
>>>>
>>>>
>>>> Вы знаете -- я делал цепочки проще, такого вот плана:
>>>>
>>>> -P FORWARD ACCEPT
>>>> -A FORWARD -s $mynet -d $local_proxy --dport 3128 -j ACCEPT
>>>> -A FORWARD -s $mynet -d $my_www -p tcp - j ACCEPT
>>>> -A FORWARD -s $mynet -d ! $mymail -p tcp -j DROP
>>>>
>>>> и все крутилось - т.е. в инет хожу через adsl а почту забираю с
>>>> локального почтовика (фигли его через инет гонять когда он рядом
>>>> стоит - плюс он за циской - и извне на ней 25 порт прикрыт)
>>>>
>>>> А вот от обратного не получаеться....
>>>> Т.е. судя по всему mail пытаеться установить сеанс а отклика не
>>>> проходит -- вот он и обламываеться
>>>>
>>>>
>>> Так всётаки, Вы при запретительной политике свой почтовый трафик
>>> разрешили?
>>
>>
>> Вы знаете - с помощью:
>> -P FORWARD DROP
>> -A FORWARD -i eth0 -j ACCEPT
>> почта ходит - но инет не работает.. странно это все
>>
>>
> Алексей, если Вы и дальше будете бросаться отдельными кусками, помочь
> Вам будет практически невозможно. Это единственные два правила и больше
> ничего нет? Какая конфигурация системы? Куда смотрит эта карта? (Обычно,
> процесс обмена двусторонний. Нужно разрешать обмен по нужному каналу в
> обе стороны.)
Вы правы... Поэтому почта ходит а инет нет =) Ибо почта хотьи в
другой сетке но физически в нашей (через циску она и
прокручиваеться)...
все понял (правда не понял как сделать от -P DROP) ну да ладно....
пойду пока по пути -P ACCEPT - а там видно будет...
Всем спасибо
>
Подробная информация о списке рассылки community