[Comm] Re: Помогите разобраться с iptables

[Dmitry Lebkov]

On Sun, 30 May 2004 12:59:25 +0400
Juveman <juveman на atom.ru> wrote:

> > 
> > У тебя REJECT-правило, отвергающее все tcp-пакеты применяется раньше
> > чем '-m state'. Приведи /etc/sysconfig/iptables вот к такому виду:
> > 
> > # Generated by iptables-save v1.2.9 on Sat May 29 20:53:21 2004
> > *filter
> > :INPUT DROP [0:0]
> > :FORWARD DROP [0:0]
> > :OUTPUT DROP [0:0]
> > [0:0] -A INPUT -i lo -j ACCEPT
> > [0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> > [0:0] -A INPUT -p tcp -m multiport --sports 20,21,80 -j ACCEPT
> > [0:0] -A INPUT -p tcp -j REJECT --reject-with icmp-port-unreachable
> > [0:0] -A OUTPUT -o lo -j ACCEPT
> > [0:0] -A OUTPUT -p tcp -m multiport -s 10.0.222.8 --dports 20,21,80 -j

Упустил я одно правило ... %)
[0:0] -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

С ним всё работает как задумывалось. Специально проверил ... %)

> > ACCEPT COMMIT
> > # Completed on Sat May 29 20:53:21 2004
> > 
> > и всё будет работать так, как ты пытаешся сделать. Т.е. для хоста
> > 10.0.222.8 будет разрешен tcp-трафик протоколов HTTP и FTP (в том
> > числе и passive FTP), а всё остальное - запрещено.
> > 
> Сделал все по этому примеру. Перестало работать вообще все. Видимо дело в
> запрещенных исходящих udp и icmp соединениях.
> Добавляю к этому еще 2 правила:
> iptables -A OUTPUT -p UDP -j ACCEPT
> iptables -A OUTPUT -p ICMP -j ACCEPT

Все правильно - разговор был о разрешении _только_ FTP и HTTP. Просто
при настройке правил ты должен четко представлять, какой трафик генерит
твой хост в штатном режиме и как работает тот или иной протокол (Hint:
tcpdump is your friend ;)
Т.е. однозначно необходимо разрешать DNS (tcp/udp 53), имеет смысл разрешить
отправку icmp-unreachable-* сообщений и т.д.

Вобщем, http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
вдумчиво читать до появления ясности ... ;)

--
WBR, Dmitry Lebkov