LINUX.ORG.RU

История изменений

Исправление samson, (текущая версия) :

1. Как уже сказано выше, tcpdump покажет трафик на интерфейсе. Это до всяких netfilters...

2. Смысл в OUTPUT добавлять какие-либо разрешающие правила, когда и так политика по умолчанию ACCEPT.

3. Обычно, в самом простом варианте, фаервол настраивают так: для цепочки ACCEPT - по умолчанию делается DROP/REJECT, разрешается established/related, и делается accept для нужных сервисов (портов/протоколов), если надо, то еще и с фильтрацией адреса источника.

4. У вас несколько унтерфейсов на машине? Каким то она смотрит в инет, каким то в локалку? Если так, то разве не проще разрешить все для локального интерфейса, как и для loopback (если конечно же в вашей локалке нет врагов!).

5. Если ваш сервак за роутером, то вообще фаервол не нужен - все должно быть на роутере.

Исходная версия samson, :

1. Как уже сказано выше, tcpdump покажет трафик на интерфейсе. Это до всяких netfilters...

2. Смысл в OUTPUT добавлять какие-либо разрешающие правила, когда и так политика по умолчанию ACCEPT.

3. Обычно, в самом простом варианте, фаервол настраивают так: для цепочки ACCEPT - по умолчанию делается DROP/REJECT, разрешается established/related, и делается accept для нудных сервисов (портов/протоколов), если надо, то еще и с фильтрацией адреса источника.

4. У вас несколько унтерфейсов на машине? Каким то она смотрит в инет, каким то в локалку? Если так, то разве не проще разрешить все для локального интерфейса, как и для loopback (если конечно же в вашей локалке нет врагов!).

5. Если ваш сервак за роутером, то вообще фаервол не нужен - все должно быть на роутере.