KA>> 3. ядро какое?
И> 2.4.18
KA>> 4. upgrade? iptables?
И> Нет
для ядра ветки 2.4 штатный инструмент управления таблицами фильтрации - iptables
(ИМХО, тем более он логичнее в настройке)
KA>> 5. с нуля настраиваешь или раньше все работало?
И> Да
а какие изменения привели к тому что все работать перестало? честно, я не понял?
И> Привожу свой /etc/sysconfig/ipchains целиком
И> :input DENY
И> :output ACCEPT
И> :forward ACCEPT
И> -A input -s 0/0 echo-request -d eth1 -p icmp -j DENY
И> -A input -s 0/0 -d eth1 33435:33525 -p udp -j DENY
И> -A input -s 0/0 -d eth14 111 -p tcp -j DENY
И> -A input -s 0/0 -d eth1 135:139 -p tcp -j DENY
И> -A input -s 0/0 -d eth1 143 -p tcp -j DENY
И> -A input -s 0/0 -d eth1 1024 -p tcp -j DENY
И> -A input -s 0/0 -d eth1 10000 -p tcp -j DENY
И> -A input -s 0/0 -d eth1 25 -p tcp -y -j ACCEPT
И> -A input -s 0/0 -d eth1 110 -p tcp -y -j ACCEPT
И> -A input -s 0/0 -d 0/0 -i lo -j ACCEPT
И> -A input -s 0/0 -d 0/0 -i eth0 -j ACCEPT
И> -A input -s 0/0 -d 0/0 -i eth1 -j ACCEPT
вот эти правила разрешают прохождение всех пакетов (с любыми ip источника и
получателя) на все сетевые интерфейсы.
Так? Имеют ли смысл все следующие правила касающиеся этих интерфейсов?
И> -A input -s net -d eth0 -i ppp0 -j ACCEPT
И> -A input -s net -d eth0 -i ppp1 -j ACCEPT
И> -A input -s net -d eth0 22 -p tcp -y -j ACCEPT
И> -A input -s net -d eth0 110 -p tcp -y -j ACCEPT
И> -A input -s net -d eth0 143 -p tcp -y -j ACCEPT
И> -A input -s net -d eth0 10000 -p tcp -y -j ACCEPT
И> -A input -s prov -d eth1 53 -p udp -j ACCEPT
И> -A input -s prov -d eth1 53 -p tcp -j ACCEPT
И> -A input -s ppov -d eth0 53 -p udp -j ACCEPT
И> -A input -s prov -d eth0 53 -p tcp -j ACCEPT
И> -A input -s 0/0 -d 0/0 -p tcp -y -j REJECT
И> -A input -s 0/0 -d 0/0 -p udp -j REJECT
И> -A input -s net -d eth0 8080 -p tcp -j ACCEPT
И> -A forward -i eth1 -p all -s net -d 0/0 -j MASQ
И> Это все работает
а если ты подставляешь те "короткие" правила, которые указывал в начале
обсуждения, то не работает?
может причина в том, что:
ты должен разрешить входящие соединения, которые уже установлены, т.е. флаг SYN
не установлен.
Поясню:
1. твоя почтовая программа стучит на 25 порт удаленного сервера от имени
непривилегированного порта, например 1275 (цепочка output, флаг пакета SYN)
2. сервер принимает запрос и отвечает на запрос с 25 порта на 1275 (цепочка
input, флаг пакета SYN/ACK)
3. почтовая программа посылает подтверждение и все остальные пакеты, общаются
они между собой теперь на этих двух портах - удаленный 25, локальный 1275
(цепочка output/input, флаг пакета ACK)
В противном случае:
1. твоя почтовая программа стучит на 25 порт удаленного сервера от имени
непривилегированного порта, например 1275 (цепочка output, флаг пакета SYN)
2. сервер принимает запрос и отвечает на запрос с 25 порта на 1275 (цепочка
input, флаг пакета SYN/ACK). Но этот пакет не проходит, т.к. запрещены
прохождения пакетов, т.е. не разрешены ни подсоединения с
непривилегированным портом, ни входящие с 25 порта...
3. почтовая программа опять пытается соединиться с 25 портом удаленного
сервера и т.д.
Таким образом у тебя, как вариант, проблему можно решить след. образом:
первое правило запрещает вхождение всех SYN пакетов на eth1 на
непривилегированные порты
второе правило разрешает вхождения всех остальных пакетов на eth1 на
непривилегированные порты
Т.е. несанкционированных новых соединений на твой шлюз производится не будет,
а
разрешены только уже установленные... (а также все замаскировавшиеся под "уже
установленные" ;) но это отдельный разговор)
C уважением, Kolotov Alexandr aka mr. Эбола
отвечать: myscri***@e*****.ru
ICQ: 100349254
| Registered Linux user # 236664 |
-*Информационный канал Subscribe.Ru
Написать в лист: mailto:comp.soft.linux.kirovlug-list@subscribe.ru
Отписаться: http://subscribe.ru/member/unsub?grp=comp.soft.linux.kirovlug&email=
http://subscribe.ru/ mailto:ask@subscribe.ru
