[Comm] Прошу помочь с настройкой файерволла

Вт Окт 19 17:00:51 MSD 2004

Привет,

сразу оговорюсь - не проверял. Но есть такое ощущение, что это из-за вот 
этих твоих лимитов (--limit 1/s) попробуй разрешить побольше конектов, 
что-то мне кажется, что если ты разрешишь 10 SYN-пакетов в секунду, то 
тебя не зафлудят, но возможно поможет, если мне не изменяет склероз, то 
в подобных системах довольно интенсивно происходят коннекты.

Прошу прощения, возможно склероз меня таки обманывает. каюсь - edonkey и 
подобным не пользуюсь.

Igor Tertishny пишет:

>Здравствуйте все! Я столкнулся с проблемой. У меня небольшая сеть, раздающая 
>клиентам интернет и иные сервисы. Многие качают файлы с помощью edonkey. Но 
>стоящим за сервером (за файерволлом) клиентам сервера edonkey выдают только 
>самый низший приоритет (lowid). Маскарадинг включен и почему так происходит 
>понять не могу. Знаю, что нужно открыть порты по списку. Открывал в 
>файерволле вообще все, не помогает. Клиенты дергают - сделай, другие же 
>делают. А я просто не знаю как, увы мне. Файерволл уже поставил простейший, 
>но снова ничего не дало. Он ниже. Прошу подсказать как открыть порт 4661, 
>например, чтобы сервер edonkey и не догадывался, что ним коннектит не мой 
>сервер, а стоящий за ним клиент. Ведь если я ставлю осла на моем сервере, то 
>все работает как положено. Но не держать же его на сервере? нонсенс ведь.
>
>Ниже мой файерволл. Понимаю, что полный примитив, но даже с ним проблемы. 
>Заранее благодарен за помощь.
>
># Включаем маршрутизацию пакетов.
>echo 1 > /proc/sys/net/ipv4/ip_forward
>
># Interface to Internet
>
>EXTIF=ppp+
>
>ANY=0.0.0.0/0
>
>#iptables -F
>#Очистка таблицы преобразования адресов.
>iptables -t nat -F
>iptables -P INPUT DROP
>iptables -P OUTPUT ACCEPT
>iptables -P FORWARD DROP
>
>iptables -F INPUT
>iptables -F OUTPUT
>iptables -F FORWARD
>
># Syn-flood protection.
># Защита от Syn-flood.
>iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
>iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
>
># Furtive port scanner.
># Защита от скрытого сканирования портов.
>iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s 
>-j ACCEPT
>iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 
>1/s -j ACCEPT
>
># Ping of death.
># Защита от Ping of death.
>iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j 
>ACCEPT
>iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j 
>ACCEPT
>
># Deny NEW end INVALID incoming or required routings packets from ppp0.
># Запрещаем NEW и INVALID входящие или требующие маршрутизации пакеты с ppp0.
>iptables -A INPUT -i $EXTIF -m state --state NEW,INVALID -j DROP
>iptables -A FORWARD -i $EXTIF -m state --state NEW,INVALID -j DROP
>
># Allow a packets which is related to, and part of an existing connection.
># Разрешаем пакеты принадлежащие и относящиеся к уже установленному 
>соединению.
>iptables -N block
>iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
>iptables -A block -m state --state NEW -i ! $EXTIF -j ACCEPT
>iptables -A block -j DROP
>
>iptables -A INPUT -j block
>iptables -A FORWARD -j block
>
># Do masquerading.
># Маскарадим ppp0.
>iptables -t nat -A POSTROUTING -j MASQUERADE -s 192.168.0.0/24 -o ppp0
>
>iptables -A INPUT -p tcp --dport 80 -j ACCEPT
>
>#Разрешаем конектится из локальной сети к любому сервису
>iptables -A INPUT -s 192.168.0.0/24 -i $EXTIF -j ACCEPT
>
>#Разрешаем приходить и форвадится связанным пакетам (которые являются ответами 
>на запросы)
>iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>iptables -A FORWARD -s 192.168.0.0/24  -j ACCEPT
>_______________________________________________
>Community mailing list
>Community на altlinux.ru
>https://lists.altlinux.ru/mailman/listinfo/community
>
>
>  
>

-- 
Best regards,
Myroslav M Rozum
e-mail: rmyroslav на mail.ru
ICQ UIN: 143704188
JID: mirik на jabber.ru
YahooID: myroslav_rozum