iptables запрещено все что не разрешено

[CyberTramp]

Знаю темя избитая, но перелопатил кучу инфы и зациклился.
Для персонального компа 10.10 хочу настроить iptables по правилу запрещено все что не разрешено, дело не в поиске легких путей, просто социальный эксперимент.

Делал так:

Код: [Выделить]

iptables --flush
iptables -P INPUT DROP 
iptables -P FORWARD DROP 
iptables -P OUTPUT DROP 
iptables -A INPUT -i lo -j ACCEPT 
iptables -A OUTPUT -o lo -j ACCEPTТут как бы все правильно. Теперь хочу вывести браузер в сеть

Код: [Выделить]

iptables -A OUTPUT -o eth0 -p tcp -m multiport --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT Результат ноль.

Код: [Выделить]

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPTИ я отключен от мира......................
Где ошибка ?

[fisher74]

iptables -A INPUT -p tcp --sport 80 -j ACCEPT

Пользователь решил продолжить мысль 04 Марта 2011, 17:25:50:Надеюсь про DNS здесь разговор не затрагивается?

[CyberTramp]

  Спасибо
Нет.
Пользователь решил продолжить мысль 04 Марта 2011, 17:47:30:Исправление ошибки не помогло.
iptables -L

(Нажмите, чтобы показать/скрыть)

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:www
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            multiport dports www

[fisher74]

а как проверяете?

[CyberTramp]

просто, пытаюсь выйти в сеть ?
Через браузер.
А как правильно проверять ?

[fisher74]

что в строке браузера пишите?
Пользователь решил продолжить мысль 04 Марта 2011, 18:38:38:Это я как бы заново подвожу к вопросу:

Надеюсь про DNS здесь разговор не затрагивается?

[shumtest]

Это вам тонко намекают что неплохо-бы еще 53 порт на выход открыть, для днс

[censor]

и icmp на вход и выход стоит разрешить.

[AnrDaemon]

и icmp на вход и выход стоит разрешить.

conntrack RELATED

[CyberTramp]

   
Спасибо всем оценил чувство юмора и свою ...... ну или не как  
Добавил

Код: [Выделить]

iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPTА если подставить порт скайпа 23399 то результат ноль.
В каком направлении копать ?
Побывал супорт скайп

Код: [Выделить]

iptables -A INPUT -p TCP -s 0/0 --dport $SKYPE_PORT -j ACCEPT
iptables -A INPUT -p UDP -i $INET_IFACE --dport $SKYPE_PORT -j ACCEPT
Но как то не работает.
В чем подвох ?
Кто сталкивался ?

[AnrDaemon]

iptables-save

[CyberTramp]

iptables-save

bash -c "iptables-save > /etc/iptables.rules"
Как это решает проблему скайпа ?

[AnrDaemon]

bash -c "iptables-save > /etc/iptables.rules"

К чему ты это ляпнул?

[fisher74]

Как это решает проблему скайпа ?

Это не решает, а поможет решить проблему со скайпом, потому как покажет все действующие правила в цепочках.

iptables -A INPUT -p TCP -s 0/0 --dport $SKYPE_PORT -j ACCEPT

-s 0/0 - условие срабатывания правила для любого source-адреса, в команде можно не указывать (это условие по умолчанию)
$SKYPE_PORT - в скрипте указан?
"-A INPUT" - Почему Вы решили, что сервер подключается к Вашему клиенту и почему именно по 23399  порту?

iptables -A INPUT -p UDP -i $INET_IFACE --dport $SKYPE_PORT -j ACCEPT

Повторюсь с вопросом: почему Вы решили, что сервер скайпа будет подключаться к Вашему клиенту.
Зато Вы не указали разрешающего правила для клиента, который как-то должен постучаться на сервер (У Вас по дефолту всё запрещено ).