[Comm] Re: Помогите разобраться с iptables

Juveman =?iso-8859-1?q?juveman_=CE=C1_atom=2Eru?=
Сб Май 29 21:16:30 MSD 2004 

> > lsmod самой первой строкой выводит:
> > Module                  Size  Used by
> > ip_conntrack_ftp       71668  0
> > 
> > > 
> > > iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> > 
> > Это правило у меня есть. Без него вообще ничего не загружается :))
> > 
> > > 
> > > > iptables -A INPUT -p TCP -m multiport --sport 21,80 -j ACCEPT
> > > 
> > > iptables -A INPUT -p TCP -m multiport --sport 20,21,80 -j ACCEPT
> > 
> > Так и сделал
> > 
> > > 
> > > > iptables -A INPUT -p TCP -j REJECT
> > > 
> > > Для использования функциональности этого модуля необходимо
> > > задействовать правила с использованием модулья state и фильтровать
> > > соответствующие состояния соединений.
> > 
> > Это я понял. Насколько я понял из tutorial, если их не фильтровать,
> > то вообще ничего не загрузится (политика по умолчанию для всех цепочек
> > DROP). Поэтому это правило присутствует. Но именно фтп не работает. То
> > есть клиент соединяется, проходит авторизацию и чего-то ждет.
> 
> NAT или MASQUERADING используется? Выполни следующие команды:

Нет, с этим пока не разбирался. И необходимости не было.
> 
> # service iptables save
> # cat /etc/sysconfig/iptables
> 
> и результаты сюда.
> 
Вот результаты:
cat /etc/sysconfig/iptables
# Generated by iptables-save v1.2.9 on Sat May 29 20:53:21 2004
*filter
:INPUT DROP [2740:387783]
:FORWARD DROP [0:0]
:OUTPUT DROP [818:58417]
[18:1392] -A INPUT -i lo -j ACCEPT
[299:102114] -A INPUT -p tcp -m multiport --sports 20,21,80 -j ACCEPT
[101:6102] -A INPUT -p tcp -j REJECT --reject-with icmp-port-unreachable
[12:2981] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[27545:1169439] -A OUTPUT -o lo -j ACCEPT
[678:51062] -A OUTPUT -s 10.0.222.8 -j ACCEPT
COMMIT
# Completed on Sat May 29 20:53:21 2004

Я еще не закончил правила писать, просто несколько раз уже переписывал все.
При таких правилах реально работает только браузер и ICQ :)) Хотя должен, насколько я понимаю, еще и FTP.
Пробовал поставить правило -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT вторым в цепочке INPUT до блокирования соединений со всех портов кроме 20,21,80. Тогда работает вообще все (в том числе и фтп). Как будто запрета tcp соединений нет вообще.
Если я правильно понимаю, все дело в очередности прохождения этих правил? То есть у меня пакет, который приходит с 21 порта принимается и уже не проводится проверка его состояния? Так что ли?
В общем у меня пока получается либо разрешить нужные мне протоколы (но тогда фтп не работает), либо сделать так, чтобы фтп работало (но тогда не получается запретить соединения по ненужным мне протоколам). Как-нибудь можно добиться и того, и другого? :))
Может с цепочкой INPUT похимичить? :))

----------
С уважением, Juveman

Подробная информация о списке рассылки community