Iptables. Почему _доходят_ DNS ответы???

0

0

/usr/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT /usr/sbin/iptables -A INPUT -m state --state NEW -i ! ppp0 -j ACCEPT /usr/sbin/iptables -P INPUT DROP

Вот строчки для моей цепочки При этом ответы DNS успешно доходят. Почему???? Не должны ведь! Slackware 8.0, iptables v1.2.4.

А вот на RedHat 7.3 c iptables v1.2.5 начинают доходить ТОЛЬКО после: /sbin/iptables -A INPUT -p udp --sport 53 -j ACCEPT То есть ТАК, КАК ДОЛЖНО.

Объясните, plz. Я уже в сомнениях, КАК ДОВЕРЯТЬ ТАКОМУ фаерволу???

Ссылка

←	определение кодировки

как собрать ядро 2.4. для ipchains?

→

Ну а чо ты паришся ты ведь сам такую руль написал. /usr/sbin/iptables -A INPUT -m state --state NEW -i ! ppp0 -j ACCEPT ты разрешаешь все новые соединения на ЛЮБОЙ порт твоей машин со ВСЕХ интерфейсов, кроме ppp0. Вставь перед этим правилом iptables -A INPUT -p udp --sport 53 -j DROP И тогда я думаю ты зарежешь то, что хотел (если я тебя правильно понял, но это мягко говоря выглидит глупо)

anonymous
(10.09.02 17:00:31 MSD)

Ссылка

Видимо, я не до конца пояснил. Ответы ДОХОДЯТ именно с интерфейса ppp0. Именно это и настораживает. После ЯВНОГО запрета (например, строчкой, что указал ты) ответы НЕ доходят. НО! Ведь при изначальных правилах ответы с ppp0 интерфейса НЕ ДОЛЖНЫ доходить. А если найдется еще сервис, куда будут тоже не санкционированно проходить udp пакеты, а я буду жить в уверенности, что все они DROP????

anonymous
(10.09.02 17:38:22 MSD)

Ссылка

А DNS сервер у тебя где? Он у тебя "чужой" (у провайдера?)? если да, то здесь бедет работать цепочка FORWARD. в iptables немного изменили смысл цепочек: INPUT, OUTPUT - для пакетов к/от твоей машине, FORWARD - то что насквозь. Цепочки друг на друга не влияют. сделай
/usr/sbin/iptables -P FORWARD DROP

Skor78 ★
(10.09.02 18:20:57 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	определение кодировки

Admin

как собрать ядро 2.4. для ipchains?

→

Похожие темы