Netfilter(iptables) нужна помощь!

[Perseika]

Здравствуйте! Нужна помощь - никак не могу разобраться с этим фаерволом. (Настраивала его через интерфейс firestarter)
Делаю рестриктив пермишн на outbound traffic. Добавляю правило (порт 80 http) - браузер грузит страницы. Но почему он их грузит? Ведь браузеру для загрузки страницы нужен (насколько я знаю) как исходящий, так и входящий трафик. А правило для входящего трафика я не делала. Так почему браузер всетаки грузит страницы?
Еще я заметила что firewall неправильно определяет мой ip (в connections, events абсолюnно другой ip). Это нормально?

[fisher74]

Таки Вы про firestarter говорите, а не про netfilter и не про iptables. Зотя первое GUI-морда второго через третье.

Еще я заметила что firewall неправильно определяет мой ip (в connections, events абсолюnно другой ip).

Сравниете с ifconfig -a

[AnrDaemon]

Здравствуйте! Нужна помощь - никак не могу разобраться с этим фаерволом. (Настраивала его через интерфейс firestarter)
Делаю рестриктив пермишн на outbound traffic. Добавляю правило (порт 80 http) - браузер грузит страницы. Но почему он их грузит? Ведь браузеру для загрузки страницы нужен (насколько я знаю) как исходящий, так и входящий трафик. А правило для входящего трафика я не делала. Так почему браузер всетаки грузит страницы?
Еще я заметила что firewall неправильно определяет мой ip (в connections, events абсолюnно другой ip). Это нормально?

Какой порт 80? Входящий или исходящий?

[Perseika]

Какой порт 80? Входящий или исходящий?

Исходящий. Я добавила разрешающее правило для исходящего порта 80, но для входящего 80 порта не добавила. При этом страницы http в браузере открываются, что странно.

Сравниете с ifconfig -a

Сравнила - напротив ip addr стоит тот же непонятный ip. Тоесть он отличается от того, что показывают сервисы для проверки ip. Пробывала с DHCP и без - один и тот же непонятный ip.

 

[drako]

Я добавила разрешающее правило для исходящего порта 80, но для входящего 80 порта не добавила. При этом страницы http в браузере открываются, что странно.

Абсолютно ничего странного, так и должно быть. Входящие порты нужны для того чтобы с Вашими сервисами могли установить соединения.

Сравнила - напротив ip addr стоит тот же непонятный ip. Тоесть он отличается от того, что показывают сервисы для проверки ip. Пробывала с DHCP и без - один и тот же непонятный ip.

Почему не понятный, у Вас пров\роутер раздают "внутренние\серые" адреса из одного из 3х диапазонов.

[Perseika]

Спасибо, с ip разобралась.

Входящие порты нужны для того чтобы с Вашими сервисами могли установить соединения.

Хм, а если взять конкретно скайп, то ему нужен только исходящий трафик?
Сейчас протестила скайп - при двух разрешенных исходящих портах(80 и 443) и всех закрытых входящих я могу обмениваться сообщениями в скайпе и скорее всего звонить.
Получается или у меня фаервол не работает, или скайпу нужны только исходящие порты...

[drako]

Вообще любое tcp соединение устанавливается в две стороны, в отличие от udp в котором можно послать пакеты и не париться о ответе. А наш умник firestarter автоматом разрешает состояния соединений established & related. Вот если бы вы писали правила руками, вам бы самой пришлось позаботиться о пакетах с таким состоянием, поскольку разрешений только на исходящий трафик не хватило бы.

[AnrDaemon]

На самом деле я был неточен в своём вопросе.
Исходящий (source) порт 80 - это трафик, посылаемый веб-сервером в ответ на запросы пользователя.
Но так же важно, какой адрес назначения трафика (или интерфейс).

[Perseika]

После проверки в онлайн-сервисах и по event-ам можно сказать что у меня он со своей задачей справляется 

Еще хотелось бы уточнить - когда пишешь правило outbound, там есть такая настройка when source is и варианты: anyone, firewall host, ip host network. Локальной сети у меня нету, поэтому как я поняла надо ставить anyone. Попробовала вариант с firewall host - тоже все прекрасно работает. Так какой из этих вариантов лучше? Можеть быть с firewallhost еще безопаснее?

[AnrDaemon]

Когда пишешь правило в outbound, это с большой вероятностью означает, что ты ошибаешься.