[Comm] iptables+ftp

Пт Июн 4 15:50:15 MSD 2004

Friday, June 4, 2004, 1:03:34 PM, вы писали:

AM> Nikita Semenov wrote:

>> Здравствуйте. Второй день бъюсь, туплю, не могу открыть ftp. Вот
>> iptables:
>> 
>> #!/bin/bash
>> 
>> INET_IP="195.144.253.5"
>> INET_IFACE="eth0"
>> LO_IFACE="lo"
>> LO_IP="127.0.0.1"
>> IPTABLES="/sbin/iptables"
>> 
>> #Flash All rules
>> $IPTABLES -F
>> $IPTABLES -X
>> 
>> #Policies
>> $IPTABLES -P INPUT ACCEPT
>> $IPTABLES -P OUTPUT ACCEPT
>> $IPTABLES -P FORWARD ACCEPT
>> 
>> #Specified chains creation
>> $IPTABLES -N inet
>> $IPTABLES -A INPUT -i $INET_IFACE -j inet
>> 
>> #loopback paranoia
>> $IPTABLES -A INPUT -i $LO_IFACE -s $INET_IP -j ACCEPT
>> $IPTABLES -A INPUT -i lo -s \! localhost/8 -j REJECT
>> $IPTABLES -A INPUT -s localhost -j ACCEPT
>> 
>> #Restrictive rules
>> $IPTABLES -A inet -p tcp --tcp-flags ALL SYN --dport ssh -j ACCEPT
>> $IPTABLES -A inet -p udp                     --dport ssh -j ACCEPT
>> $IPTABLES -A inet -p udp                     --dport domain -j ACCEPT
>> $IPTABLES -A inet -p udp                     --sport domain -j ACCEPT
>> $IPTABLES -A inet -p tcp                     --dport domain -j ACCEPT
>> $IPTABLES -A inet -p tcp                     --sport domain -j ACCEPT
>> $IPTABLES -A inet -p tcp                     --dport http -j ACCEPT
>> $IPTABLES -A inet -p udp                     --dport ntp -j ACCEPT
>> $IPTABLES -A inet -p tcp                     --dport 21 -j ACCEPT
>> $IPTABLES -A inet -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
>> 
>> #Kill other udp
>> $IPTABLES -A inet -p udp -d $INET_IP -j REJECT
>> 
>> #Kill other tcp
>> $IPTABLES -A inet -p tcp --tcp-flags ALL SYN -d $INET_IP -j REJECT
>> 
>> 
>> Что не так делаю? Заранее спасибо.
AM> А в обратну сторону (для ответов) окрыть не хотите?

> $IPTABLES -A inet -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
Этого разве не достаточно?

-- 
Best regards,
Nikita Semenov
System Administrator
InterStep
+7(812)324-8020
nikita на inter-step.ru
ICQ: 3939833