Re: iptables setup: masq, opening ports, security

[Andrei Sosnin <demonsly@hot.ee>]

Andrey Nekrasov wrote:
> Здравствуйте.
>
> Странные правила.
>
>   Chain INPUT (policy DROP)
>   target     prot opt source               destination
>   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
>
>   все. зачем остальные - ты уже всех впустил :)
>
>   В "OUTPUT" подобное.
>  

Так-так-так...

Это для интерфейса lo! То же самое с OUTPUT. Там стоит опция -i lo. Так
что это не считается.


> Сотри свой скрипт, прочитай
> /usr/share/doc/iptables/html/packet-filtering-HOWTO.html
>
> Пункт "5. Rusty's Really Quick Guide To Packet Filtering"
>
> Поменяй имя интерфейса и добавь правила для своих сервисов.

Все равно посмотрим...

> > А где?! Ведь апач и sendmail у меня независимо от xinetd, там, значит,
> > все в порядке... Трафик по маскараду идет, значит, входящие соединения 
> > разрешаются, если есть соответствующее исходящее...
>
>
>  Вот именно.
>
>  Apache/sendmail/... должны биндиться на внешний интерфейс с реальным адресом.
>  Или NAT настрой.

Так, я теперь вообще все соединения разрешил и sendmail, например,
соединения извне принимает и даже письма для локальных пользователей
получает. Вот только apache не работает. Но, вероятно, нужно либо еще
раз хорошо подумать над настройкой iptables конкретно по apache, либо
порыться в настройках самого Апача.

Я предлагаю временно приостановить разрешение проблемы с iptables, так
как есть подозрения, что она (у меня) уже решена. Если нет, я вновь
запостю вопросы, если да, и это подтвердится, то запостю конкретное решение.

Ждите еще вопросов по поводу настройки apache, так как там у меня могут
также возникнуть вопросы.

Спасибо всем за помощь,

Всего хорошего,

--
Andrei Sosnin
http://zzx.ath.cx

  <!-- : it all depends on your vision : -->