https://slinkov.ru/openforum/vsluhforumID1/90293.html Помогите пожалуйста открыть доступ по SSH c внешки при изначально установленных DROP политиках, с ниже приведенным конфигом я не имею доступа к SSH =(<br><br>#!/bin/bash<br>echo "1" &gt; /proc/sys/net/ipv4/ip_forward<br>iptables -F<br>iptables -F -t nat<br>iptables -F -t mangle<br><br>iptables -P INPUT DROP<br>iptables -P OUTPUT DROP<br>iptables -P FORWARD DROP<br><br>iptables -A INPUT -p tcp --dport 22 -j ACCEPT<br>iptables -A OUTPUT -p udp --sport 22 -j ACCEPT<br> https://slinkov.ru/openforum/vsluhforumID1/90293.html#7 Tue, 16 Nov 2010 08:37:01 GMT &gt; Я должен все вышеприведенные правила добавлять в файрвол, или так это не<br>&gt; делатся ? что-то мне подсказывает что это огород )). Сильно не<br>&gt; пинайте я только учусь ...<br><br>Да, это огород, и да, именно так это и делается. То есть "одна задача" -- ку-у-уча правил iptables. iptables -- достаточно "низкоуровневое" средство, а-ля ассемблер~~~<br><br>Ну с %) "небольшими" отличиями... пример= http://www.opennet.ru/openforum/vsluhforumID10/4099.html#7<br> https://slinkov.ru/openforum/vsluhforumID1/90293.html#6 Mon, 15 Nov 2010 17:49:56 GMT Исходящие пакеты с локального приложения, поступают на другое локальное приложение, через внутренний логический интерфейс loopback. Хорошо бы обеспечить ему беспрепятственную работу:<br><br>Это полностью открывает loopback-интерфейс для общения приложений на локалхосте через "сеть", для всех протоколов и портов:<br>&gt; iptables -A INTUT -i lo -j ACCEPT<br>&gt; iptables -A OUTPUT -o lo -j ACCEPT<br><br>Это для того, чтобы к вам на веб-сервер пакеты проходили из вне:<br>&gt; iptables -A INPUT -p tcp --dport 80 -j ACCEPT<br><br>разрешаем так же ответы на http-запросы:<br>&gt; iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT<br><br>__________________________________________________________________________________<br>С FTP там какие-то заморочки с портами будут. Не помню... :-) <br>тут вот пишут:<br>http://slacksite.com/other/ftp.html<br><br>Нужно будет задействовать механизм отслеживания состояний соединений (conntrack), чтобы с FTP работать, вроде бы...<br><br>типа вот такого решения:<br><br>Пускаем входящие пакеты только на 20 и 21 порт для установки соединения:<br>&gt;ipt https://slinkov.ru/openforum/vsluhforumID1/90293.html#5 Mon, 15 Nov 2010 14:29:55 GMT Спасибо с SSH я разобрался, но появился еще один вопрос по поводу доступа к ftp и http<br><br># C этими правилами я имею доступ с внешки на эти порты, но не могу поднять соединения по этим портам с сервера-localhost<br>iptables -A INPUT -p tcp --dport 80 -j ACCEPT<br>iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT<br>iptables -A INPUT -p tcp --dport 21 -j ACCEPT<br>iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT<br><br># C этими все наоборот т.е. внешка закрыта, а исходящие соединения с localhost'a работают<br>iptables -A INPUT -p tcp --sport 80 -j ACCEPT<br>iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT<br>iptables -A INPUT -p tcp --sport 21 -j ACCEPT<br>iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT<br><br>Я должен все вышеприведенные правила добавлять в файрвол, или так это не делатся ? что-то мне подсказывает что это огород )). Сильно не пинайте я только учусь ...<br> https://slinkov.ru/openforum/vsluhforumID1/90293.html#4 Sun, 14 Nov 2010 11:43:13 GMT &gt; iptables -A INPUT -p tcp --dport 22 -j ACCEPT<br>&gt; iptables -A OUTPUT [u]-p tcp[/u] --sport 22 -j ACCEPT<br><br>Этого достаточно. Видимо у тебя в другом проблема. Поищи tcpdump'om.<br> https://slinkov.ru/openforum/vsluhforumID1/90293.html#3 Sun, 14 Nov 2010 08:49:26 GMT Да и ещё. Приведите уж тогда вывод iptables -nL INPUT, iptables -nL OUTPUT<br> https://slinkov.ru/openforum/vsluhforumID1/90293.html#2 Sun, 14 Nov 2010 08:48:08 GMT &gt; неособо разюираюсь в айпитабласах но второй строке явная ощибка<br>&gt;&gt; iptables -A INPUT -p tcp --dport 22 -j ACCEPT<br>&gt;&gt; iptables -A OUTPUT -p udp --sport 22 -j ACCEPT<br><br> Еще как явная. Потому как к протоколу UDP ssh Отношения не имеет. Да и вообще - на кой черт в OUTPUT ставить дефолтную политику в DROP - хоть убей не понимаю. Разве что из склонности к мазохизму. :) Еще не мешало бы добавить в INPUT пакеты со статусом ESTABLISHED и RELATED<br><br><br> https://slinkov.ru/openforum/vsluhforumID1/90293.html#1 Sun, 14 Nov 2010 08:34:20 GMT неособо разюираюсь в айпитабласах но второй строке явная ощибка<br>&gt; iptables -A INPUT -p tcp --dport 22 -j ACCEPT<br>&gt; iptables -A OUTPUT -p udp --sport 22 -j ACCEPT