LINUX.ORG.RU
ФорумAdmin

iptables ... закрыть все


0

0

имеется сервер, необходимо, чтоб на внешнем интерфейсе был открыт только 21 порт делаю следущее -A INPUT -p tcp -m tcp -d 192.168.0.130 --dport 21 -j ACCEPT -A INPUT -p tcp -m tcp -d 192.168.0.130 -j DROP ----- при проверке извне, вижу что открыт только 21 порт. но когда пытаюсь с этого сервака куданибудь приконектиться (ftp, http) ничего не получается, хотя пинги проходят, dns имена разрешаются. в секции OUTPUT стоит -A OUTPUT -p tcp -m tcp -s 192.168.0.130 -j ACCEPT ----- подскажите, куда копать

anonymous
нужны ли ip_conntrack_pptp и ip_nat_pptp ?
troubles with woody

открой в INPUT все tcp в состоянии ESTABLISHED,RELATED. и еще - судя по твоему второму правилу в input-e и тому, что у тебя работает пинг и днс, дефолтовая политика в цепочках у тебя accept - это не есть хорошо.

sasha999 ★★★★
()
Ответ на: комментарий от sasha999

а чем плохо правило OUTPUT ? это сервак в гейм клубе, пускай куда хотят туда шастают, на трафик пофиг :)

anonymous
()
Ответ на: комментарий от anonymous

они у тебя что - с самого сервера шастают ?? тогда - вперед , но непонятно зачем тебе тогда вообще ккие-то фарволлы - забудь про безопасномть :)

sasha999 ★★★★
()

ping у тебя проходит потому что этот не tcp а icmp запрос, все остальное потому что у тебя запрет на tcp прием со всех ip в том числе и с внутреннего 127.0.0.1 (lo-интефейс) с которого пересылают локальные приложения свои запросы в инет, а то что forward в политиках не упоминаешь - это очень плохо

dRon
()
Ответ на: комментарий от dRon

> с которого пересылают локальные приложения свои запросы в инет
В inet они пересылают через что угодно, но не через lo ! Через lo они пересылают пакеты друг другу.

spirit ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
нужны ли ip_conntrack_pptp и ip_nat_pptp ?
Admin
troubles with woody