[Comm] Re: Помогите разобраться с iptables

Dmitry Lebkov =?iso-8859-1?q?dima_=CE=C1_sakhalin=2Eru?=
Сб Май 29 16:08:21 MSD 2004 

On Sat, 29 May 2004 15:31:22 +0400
Juveman <juveman на atom.ru> wrote:

> > > Выполняю modprobe -l 
> > > /lib/modules/2.6.3-7mdk/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko.gz
> > > Насколько я понимаю, этот модуль загружен. 
> > 
> > lsmod подскажет точнее.
> 
> lsmod самой первой строкой выводит:
> Module                  Size  Used by
> ip_conntrack_ftp       71668  0
> 
> > > До введения этих правил соединения с фтп серверами проходили нормально. Подскажите, пожалуйста, как все-таки заставить работать фтп при таких настройках. 
> > 
> > > И еще. Очень мне понравились действия icq, которая просто переползла
> > > на использование 80 порта (если верить netstat) и, соответственно,
> > > спокойно соединилась с сервером :)) Ей как-нибудь можно заблокировать
> > > выход в сеть?
> > 
> > Это не очень тривиально, но можно. А вообще в организации нужно держать
> > один прокси-сервер и запретить вообще наружу коннекты. А на прокси
> > открывается только http и ftp и персонально запрещаются все подсети
> > mirabilis'а. :-)
> 
> :)) До организации мне пока далеко :) Пока строю сеть только у себя в подъезде :))
> 
> > > Разбираюсь с настройкой iptables. В связи с этим возникло
> > > пара вопросов. Я пробую ограничить использование сети только
> > > протоколами http и ftp. (я только разбираюсь с настройкой,
> > > поэтому целесообразность подобного шага не обсуждается :))
> > > Для этого выполняю следующие команды:
> > 
> > iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> 
> Это правило у меня есть. Без него вообще ничего не загружается :))
> 
> > 
> > > iptables -A INPUT -p TCP -m multiport --sport 21,80 -j ACCEPT
> > 
> > iptables -A INPUT -p TCP -m multiport --sport 20,21,80 -j ACCEPT
> 
> Так и сделал
> 
> > 
> > > iptables -A INPUT -p TCP -j REJECT
> > 
> > Для использования функциональности этого модуля необходимо
> > задействовать правила с использованием модулья state и фильтровать
> > соответствующие состояния соединений.
> 
> Это я понял. Насколько я понял из tutorial, если их не фильтровать,
> то вообще ничего не загрузится (политика по умолчанию для всех цепочек
> DROP). Поэтому это правило присутствует. Но именно фтп не работает. То
> есть клиент соединяется, проходит авторизацию и чего-то ждет.

NAT или MASQUERADING используется? Выполни следующие команды:

# service iptables save
# cat /etc/sysconfig/iptables

и результаты сюда.

--
WBR, Dmitry Lebkov

Подробная информация о списке рассылки community