https://www.opennet.ru/openforum/vsluhforumID10/4466.html Добрый вечер форумчане)) . Вот собственно какой вопрос поставил я себе centos 5.4 и решил я через него раздать инет в локалку. Раньше работал только с freebsd и тамошим ipfw. Но вот решил перейти на линух. Подскажите правильно я настроил iptables или может чтото лишнее. Буду обоснованной критике ))).<br>Что мне нужно<br>1)пока тока натроить INPUT FORWARD <br>2)ssh<br>3)ftp<br>4)vnc<br>5)и еще в дальнейшем эта машина будет заменять и мой рабочий комп<br><br># Generated by iptables-save v1.3.5 on Wed Dec 23 16:37:43 2009<br>*nat<br>:PREROUTING ACCEPT [12:2319]<br>:POSTROUTING ACCEPT [71:4558]<br>:OUTPUT ACCEPT [80:5661]<br>### "Это NAT<br>-A POSTROUTING -s 192.168.10.0/255.255.255.0 -j SNAT --to-source 192.168.0.3 <br>COMMIT<br><br>*filter<br>:INPUT DROP [19:2599]<br>:FORWARD ACCEPT [0:0]<br>:OUTPUT DROP [9:1103]<br>:services - [0:0]<br>### ну это 127.0.0.1<br>-A INPUT -i lo -j ACCEPT <br>### Это пропускаю норм. соединения<br>-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT <br>### Это моя цепочка сам не знаю зачем сделал ) просто решил попробовать<br>-A IN https://www.opennet.ru/openforum/vsluhforumID10/4466.html#14 Sat, 26 Dec 2009 19:07:13 GMT <br>&gt; Потому что НОРМАЛЬНЫЙ пользователь Линукс (да и Виндоуз, да и любой <br>&gt;ОС) в состоянии разобраться что и почему него запущено на компьютере. <br>&gt;<br><br>Вот именно исходя из этого мнения, что нормальный пользователь Линукс в состоянии знать что у него работает/будет работать на компьютера, и ставится OUTPUT в DROP.<br> https://www.opennet.ru/openforum/vsluhforumID10/4466.html#13 Sat, 26 Dec 2009 19:02:54 GMT <br>&gt;Со всеми портам разобрался а вот с эти не могу 770 tcp <br>&gt;кто его использует что за служба? <br><br>netstat -lpn &#124; grep 770<br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/4466.html#12 Sat, 26 Dec 2009 18:38:04 GMT &gt;&gt;&gt;Апдейт. И ставить политику по дефолту в OUTPUT в DROP - это <br>&gt;&gt;&gt;сильный ход. :)))) Далеко пойдете. <br>&gt;&gt;<br>&gt;&gt;А почему OUTPUT в DROP нельзя ставить ? Это уже лишнее? <br>&gt;<br>&gt; Потому что НОРМАЛЬНЫЙ пользователь Линукс (да и Виндоуз, да и любой <br>&gt;ОС) в состоянии разобраться что и почему него запущено на компьютере. <br>&gt;<br><br>Со всеми портам разобрался а вот с эти не могу 770 tcp кто его использует что за служба?<br> https://www.opennet.ru/openforum/vsluhforumID10/4466.html#11 Fri, 25 Dec 2009 13:59:58 GMT &gt; То есть на самом компьютере Вы не собираетесь<br><br>А-а-га. Там, по ссылке, был _учебный_ (но полностью работающий - и соответствующий постанове) пример. %)<br><br>Вот пример http:/openforum/vsluhforumID10/4099.html#7 с невырожденным OUTPUT (=присутствующим interface+client), если интересно---<br> https://www.opennet.ru/openforum/vsluhforumID10/4466.html#10 Fri, 25 Dec 2009 11:43:35 GMT &gt;&gt;&gt;Апдейт. И ставить политику по дефолту в OUTPUT в DROP - это <br>&gt;&gt;&gt;сильный ход. :)))) Далеко пойдете. <br>&gt;&gt;<br>&gt;&gt;А почему OUTPUT в DROP нельзя ставить ? Это уже лишнее? <br>&gt;<br>&gt; Потому что НОРМАЛЬНЫЙ пользователь Линукс (да и Виндоуз, да и любой <br>&gt;ОС) в состоянии разобраться что и почему него запущено на компьютере. <br>&gt;<br><br>спасибо буду разбираться дальше )<br> https://www.opennet.ru/openforum/vsluhforumID10/4466.html#9 Fri, 25 Dec 2009 11:19:00 GMT &gt;[оверквотинг удален]<br>&gt;[...] <br>&gt;*filter <br>&gt;:INPUT DROP [0:0] <br>&gt;:FORWARD DROP [0:0] <br>&gt;:OUTPUT DROP [0:0] <br>&gt;[...] <br>&gt;-A OUTPUT -o lo -j ACCEPT <br>&gt;-A OUTPUT -m state --state RELATED -j ACCEPT <br>&gt;-A OUTPUT -m limit --limit 1/sec -j LOG --log-prefix "'OUT-unknown:'" <br>&gt;-A OUTPUT -j DROP <br><br> То есть на самом компьютере Вы не собираетесь запускать ни одного приложения (браузера, к примеру), которое будет выходить в Интернет (варианты - менеджеры пакетов - apt-get, yast, emerge etc)? Верх мудрости - закрывать самому себе выход.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/4466.html#8 Fri, 25 Dec 2009 11:08:54 GMT &gt;&gt;Апдейт. И ставить политику по дефолту в OUTPUT в DROP - это <br>&gt;&gt;сильный ход. :)))) Далеко пойдете. <br>&gt;<br>&gt;А почему OUTPUT в DROP нельзя ставить ? Это уже лишнее? <br><br> Потому что НОРМАЛЬНЫЙ пользователь Линукс (да и Виндоуз, да и любой ОС) в состоянии разобраться что и почему него запущено на компьютере.<br><br> https://www.opennet.ru/openforum/vsluhforumID10/4466.html#7 Fri, 25 Dec 2009 10:31:10 GMT &gt;политику по дефолту в OUTPUT в DROP - это сильный ход. :)))) Далеко пойдете. <br><br>А мне нравится. :-] http:/openforum/vsluhforumID10/3779.html#4<br><br>[...]<br>*filter<br>:INPUT DROP [0:0]<br>:FORWARD DROP [0:0]<br>:OUTPUT DROP [0:0]<br>[...]<br>-A OUTPUT -o lo -j ACCEPT<br>-A OUTPUT -m state --state RELATED -j ACCEPT<br>-A OUTPUT -m limit --limit 1/sec -j LOG --log-prefix "'OUT-unknown:'"<br>-A OUTPUT -j DROP<br> https://www.opennet.ru/openforum/vsluhforumID10/4466.html#6 Fri, 25 Dec 2009 09:49:48 GMT &gt;Апдейт. И ставить политику по дефолту в OUTPUT в DROP - это <br>&gt;сильный ход. :)))) Далеко пойдете. <br><br>А почему OUTPUT в DROP нельзя ставить ? Это уже лишнее?<br>