Re: [vpsFree.cz: community-list] Nastavení iptables na Scientific Linuxu

Jenom poznámka k těm pravidlům - přijde mi, že č. 8 nedělá nic jiného, než že povoluje veškerý UDP provoz na tvůj server od kohokoliv.

Jan Sedlák wrote:

Ahoj, řeším problém s nastavením firewallu pomocí iptables na Scientific Linuxu. Aktuálně vypadají pravidla takto:

1. iptables -F

2. iptables -A INPUT -p tcp --dport 22 -j ACCEPT

3. iptables -P INPUT DROP

4. iptables -P FORWARD DROP

5. iptables -P OUTPUT ACCEPT

6. iptables -A INPUT -i lo -j ACCEPT

7. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

8. iptables -A INPUT -p udp --sport 53 -j ACCEPT

9. iptables -A INPUT -p udp --dport 53 -j ACCEPT

10. iptables -A INPUT -p udp --dport 60000:61000 -j ACCEPT

11. iptables -A INPUT -p tcp --dport 80 -j ACCEPT

12. iptables -A INPUT -p tcp --dport 443 -j ACCEPT

13. iptables -A INPUT -p tcp --dport 9418 -j ACCEPT

14. iptables -A INPUT -p udp --dport 9418 -j ACCEPT

15. iptables -A INPUT -p icmp -j ACCEPT

(a pro ipv6 obdobně).

První problém je, že pokud chci zahazovat veškeré packety stavu INVALID, začnou se mi zahazovat VŠECHNY packety. Druhý problém je, že mi nefunguje yum (spojení začnou timeoutovat), ačkoliv by měl. Po chvilce googlení jsem narazil na lidi se stejnými problémy, ti však zapomněli přidat pravidlo 7, které ve firewallu mám. Skoro to vypadá, jako kdyby byly stavy špatně detekovány (ESTABLISHED, RELATED i INVALID). Nebo je chyba někde v mých pravidlech?

Honza _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list