Re: iptables setup: masq, opening ports, security
Vasiliy 'Druid' Misharev wrote:
On Wed, Dec 11, 2002 at 01:39:39PM +0200, Andrei Sosnin wrote:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
входит все.
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 62.65.204.36 0.0.0.0/0 tcp
spts:1024:65535 dpt:21 state NEW
ACCEPT tcp -- 62.65.204.36 0.0.0.0/0 tcp spt:21
dpts:1024:65535
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
выходит тоже все.
похоже не в iptables проблемы...
А где?! Ведь апач и sendmail у меня независимо от xinetd, там, значит,
все в порядке... Трафик по маскараду идет, значит, входящие соединения
разрешаются, если есть соответствующее исходящее...
Изнутри, то есть с локальной сети все работает - задаю адрес
http://62.65.204.36 и открывается красивая страничка с сервера. Захожу
на FTP по тому же адресу - тоже заходит. На sendmail по адресу
62.65.204.36 порт 25 - письма шлю для локального аккаунта
uset@hostname.dyn-dns.org - все приходит.
Но как только пытаюсь соединиться извне, через Инет - комп не доступен.
Кстати, если пытаюсь с sendmail соединиться - ждет таймаута, если с
apache httpd - почти сразу рубится (через секунду, хотя это, может, MS
IE тормозной). Хотя это *меня*, возможно, уже глючит.
Не может же быть чтобы 3 программы сразу были так настроены, чтобы ни в
какую не соединяться с внешним миром, хоть файрволл это и позволяет!
Или это, может, глючная настройка ядра? Вот как я его настраивал:
CONFIG_NET=y
# CONFIG_NETLINK_DEV is not set
CONFIG_NETFILTER=y
# CONFIG_NETFILTER_DEBUG is not set
CONFIG_INET=y
# CONFIG_NET_IPIP is not set
CONFIG_NET_IPGRE=m
# CONFIG_NET_IPGRE_BROADCAST is not set
CONFIG_INET_ECN=y
# CONFIG_DECNET is not set
CONFIG_NET_SCHED=y
CONFIG_NET_SCH_CBQ=m
CONFIG_NET_SCH_CSZ=m
CONFIG_NET_SCH_PRIO=m
CONFIG_NET_SCH_RED=m
CONFIG_NET_SCH_SFQ=m
CONFIG_NET_SCH_TEQL=m
CONFIG_NET_SCH_TBF=m
CONFIG_NET_SCH_GRED=m
CONFIG_NET_SCH_DSMARK=m
CONFIG_NET_SCH_INGRESS=m
CONFIG_NET_QOS=y
CONFIG_NET_ESTIMATOR=y
CONFIG_NET_CLS=y
CONFIG_NET_CLS_TCINDEX=m
CONFIG_NET_CLS_ROUTE4=m
CONFIG_NET_CLS_ROUTE=y
CONFIG_NET_CLS_FW=m
CONFIG_NET_CLS_U32=m
CONFIG_NET_CLS_RSVP=m
CONFIG_NET_CLS_RSVP6=m
CONFIG_NET_CLS_POLICE=y
CONFIG_NET_PKTGEN=m
CONFIG_NETDEVICES=y
# CONFIG_ARCNET is not set
# CONFIG_NET_SB1000 is not set
CONFIG_NET_ETHERNET=y
CONFIG_NET_VENDOR_3COM=y
# CONFIG_NET_VENDOR_SMC is not set
# CONFIG_NET_VENDOR_RACAL is not set
CONFIG_NET_ISA=y
CONFIG_NET_PCI=y
# CONFIG_PCNET32 is not set
# CONFIG_NET_POCKET is not set
# CONFIG_NET_RADIO is not set
# CONFIG_NET_FC is not set
Если что, скажите. Хотя, будет очень неприятно услышать, что мне
придется перекомпилить ядро... Но я надеюсь, что не придется.
--
Andrei Sosnin
http://zzx.ath.cx
<!-- : it all depends on your vision : -->
Reply to:
- References:
- iptables setup: masq, opening ports, security
- From: Andrei Sosnin <demonsly@hot.ee>
- Re: iptables setup: masq, opening ports, security
- From: "Vasiliy 'Druid' Misharev" <druid@ice.ru>
- Re: iptables setup: masq, opening ports, security
- From: "Dmitriy Sirant" <lex@paradise.net.ua>
- Re: iptables setup: masq, opening ports, security
- From: "Vasiliy 'Druid' Misharev" <druid@ice.ru>
- Re: iptables setup: masq, opening ports, security
- From: Andrei Sosnin <demonsly@hot.ee>
- Re: iptables setup: masq, opening ports, security
- From: "Vasiliy 'Druid' Misharev" <druid@ice.ru>