[Comm] Помогите разобраться с iptables

[Dmitry Lebkov]

On Sat, 29 May 2004 12:34:46 +0400
Juveman <juveman на atom.ru> wrote:

> Разбираюсь с настройкой iptables. В связи с этим возникло
> пара вопросов. Я пробую ограничить использование сети только
> протоколами http и ftp. (я только разбираюсь с настройкой,
> поэтому целесообразность подобного шага не обсуждается :))
> Для этого выполняю следующие команды:

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

> iptables -A INPUT -p TCP -m multiport --sport 21,80 -j ACCEPT

iptables -A INPUT -p TCP -m multiport --sport 20,21,80 -j ACCEPT

> iptables -A INPUT -p TCP -j REJECT

> И вот здесь начинается самое интересное. Отрубаются практически
> все сетевые программы. Работает только браузер (в принципе как
> и было задумано). Но не работает ftp. То есть соединение с
> сервером происходит, успешно проходит авторизация (если нужна),
> но список файлов и каталогов фтп-клиент не получает. Начитавшись
> iptables-tutorial, разрешаю еще соединения с 20 порта. Ничего не
> меняется.
> Там же в iptables-tutorial написано, что для с фтп через файерволл
> требуется дополнительный модуль ip_conntrack_ftp.
> Выполняю modprobe -l 
> /lib/modules/2.6.3-7mdk/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko.gz
> Насколько я понимаю, этот модуль загружен. 

Для использования функциональности этого модуля необходимо
задействовать правила с использованием модулья state и фильтровать
соответствующие состояния соединений.

> До введения этих правил соединения с фтп серверами проходили нормально.
> Подскажите, пожалуйста, как все-таки заставить работать фтп при таких
> настройках. И еще. Очень мне понравились действия icq, которая просто
> переползла на использование 80 порта (если верить netstat) и,
> соответственно, спокойно соединилась с сервером :)) Ей как-нибудь
> можно заблокировать выход в сеть?

Блокировкой всех ip-адресов login.icq.com?

--
WBR, Dmitry Lebkov