Вопрос по iptables

[PeoneEr]

Доброе время суток.
Настроени iptables, и вполне все работает, но:
при включенном iptables я не могу создавать/отвечать на данном форуме, писать сообщения вконтакте ( не всегда, магия ? ).
Ниже мой iptables -L

peoneer@peoneer:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  92-243-96-127.nts.su  anywhere            tcp dpt:http-alt
ACCEPT     tcp  --  82-117-177-246.nts.su  anywhere            tcp dpt:http-alt
ACCEPT     tcp  --  95.191.36.50         anywhere            tcp dpt:http-alt
ACCEPT     tcp  --  213.210.83.178       anywhere            tcp dpt:http-alt
ACCEPT     tcp  --  246.111.210.213.adsl.tomsknet.ru  anywhere            tcp dpt:http-alt
ACCEPT     tcp  --  localhost            anywhere            tcp dpt:http-alt
ACCEPT     tcp  --  lllypuk.sels.ru      anywhere            tcp dpt:http-alt
ACCEPT     tcp  --  79.136.176.159       anywhere            tcp dpt:http-alt
ACCEPT     tcp  --  cc27x235.sels.ru     anywhere            tcp dpt:http-alt
ACCEPT     tcp  --  119.233.126.92.adsl.tomsknet.ru  anywhere            tcp dpt:http-alt
ACCEPT     tcp  --  cc38x116.sels.ru     anywhere            tcp dpt:http-alt
ACCEPT     tcp  --  181.103.188.90.etth.tomsknet.ru  anywhere            tcp dpt:http-alt
ACCEPT     tcp  --  dimmus.seversk.net   anywhere            tcp dpt:http-alt
ACCEPT     tcp  --  77-245-163-152.nts.su  anywhere            tcp dpt:http-alt
ACCEPT     tcp  --  docsis-62-68-131-11.tomtelnet.ru  anywhere            tcp dpt:http-alt
DROP       tcp  --  anywhere             anywhere            tcp dpt:http-alt
DROP       icmp --  anywhere             anywhere           

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination   

Ещё заметил, что я не могу пинговать, это так же зависит от настроек. Подскажите как быть.

[Protopopulus]

Может всё таки грамотно настроить iptables? Или просто поставить ufw и не мучить свой моск?

[AnrDaemon]

https://forum.ubuntu.ru/index.php?topic=20334.0

Туда все вопросы по IPTABLES

[Tokh]

Ещё заметил, что я не могу пинговать, это так же зависит от настроек. Подскажите как быть.

Вот оно.

Код: [Выделить]

target     prot opt source               destination        
DROP       icmp --  anywhere             anywhere            См. что такое пинг и какой ICMP оно использует.

Что за порт "http-alt"? sudo iptables -L -n даст цифровой вывод.
Зачем нет

Код: [Выделить]

ACCEPT     tcp  --  0.0.0.0/0            локальный.ip.адрес           state RELATED,ESTABLISHED
?

См. "Руководство по iptables (Iptables Tutorial)" http://www.opennet.ru/docs/RUS/iptables/

P.S. ufw более простая вещь...

[PeoneEr]

peoneer@peoneer:~$ sudo iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  92.243.96.127        0.0.0.0/0           tcp dpt:8080
ACCEPT     tcp  --  82.117.177.246       0.0.0.0/0           tcp dpt:8080
ACCEPT     tcp  --  95.191.36.50         0.0.0.0/0           tcp dpt:8080
ACCEPT     tcp  --  213.210.83.178       0.0.0.0/0           tcp dpt:8080
ACCEPT     tcp  --  213.210.111.246      0.0.0.0/0           tcp dpt:8080
ACCEPT     tcp  --  127.0.0.1            0.0.0.0/0           tcp dpt:8080
ACCEPT     tcp  --  83.172.37.217        0.0.0.0/0           tcp dpt:8080
ACCEPT     tcp  --  79.136.176.159       0.0.0.0/0           tcp dpt:8080
ACCEPT     tcp  --  83.172.27.235        0.0.0.0/0           tcp dpt:8080
ACCEPT     tcp  --  92.126.233.119       0.0.0.0/0           tcp dpt:8080
ACCEPT     tcp  --  83.172.38.116        0.0.0.0/0           tcp dpt:8080
ACCEPT     tcp  --  90.188.103.181       0.0.0.0/0           tcp dpt:8080
ACCEPT     tcp  --  83.172.45.130        0.0.0.0/0           tcp dpt:8080
ACCEPT     tcp  --  77.245.163.152       0.0.0.0/0           tcp dpt:8080
ACCEPT     tcp  --  62.68.131.11         0.0.0.0/0           tcp dpt:8080
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:8080
DROP       icmp --  0.0.0.0/0            0.0.0.0/0

P.S. есть руководства по ufw ?
Пользователь решил продолжить мысль 05 Июля 2009, 10:44:35:

См. что такое пинг и какой ICMP оно использует.

Зачем нет

Код: [Выделить]

ACCEPT     tcp  --  0.0.0.0/0            локальный.ip.адрес           state RELATED,ESTABLISHED
?

Где можно глянуть что такое пинг и какой ICMP оно использует ? И вот это: ACCEPT     tcp  --  0.0.0.0/0            локальный.ip.адрес           state RELATED,ESTABLISHED  каким образом внести в iptables и что оно обозначает вообще ?

[Tokh]

peoneer@peoneer:~$ sudo iptables -L -n
есть руководства по ufw ?
Где можно глянуть что такое пинг и какой ICMP оно использует ?
И вот это:

Код: [Выделить]

ACCEPT     tcp  --  0.0.0.0/0            локальный.ip.адрес           state RELATED,ESTABLISHED  каким образом внести в iptables и что оно обозначает вообще ?

(Нажмите, чтобы показать/скрыть)

Для публикации консольного вывода комманды можно-нужно использовать тег "code". Это "решётка" в тулбаре редактора сообщения на форуме. Кроме того, большие куски "кода" можно заключать в спойлер (значок "радиация"), чтоб не мешало понимать, чего Вам нужно и где проблема...

Цитата, это цитата. Я вообще до последнего момента не понял зачем дана цитата с правилами. Потом догадался...

Тема RELATED,ESTABLISHED затронута в конце сообщения
https://forum.ubuntu.ru/index.php?topic=20334.msg457135#msg457135
как и вообще в той теме.
Раскрыта - в "Руководство по iptables (Iptables Tutorial)" http://www.opennet.ru/docs/RUS/iptables/

Для iptables можно подгружать разные модули. Модули могут делать что угодно. Конкретно модуль ip_conntrack отслеживает, что приходящие-проходящие пакеты передаются в связи с ранее установленным соединением (т.е. в связи с разрешённым ранее соединением). Это упрошает правила.

В т.ч., при доверии к установленным на своём компьютере программам, если  разрешить всё в цепи OUTPUT, а в INPUT делать только, что разрешать пакеты которые идут в рамках соединения ранее начатого по иницитиве локального компьютера, то получаем несложные правила, работающие на автопилоте в рамках идеи "разрешать всё иницированное пользователем, но запрещать внешние инициативы установить соединение". Т.к. через OUTPUT идут только пакеты "родившися" на локальной машине и никакие другие. А если своим программам доверяем, то для простого домашнего компьютера в OUTPUT можно разрешать всё.

Усложняя разрешающие правила в OUTPUT, можно и локального пользователя ограничивать в доступе наружу.

FTP соединение не очень простое, оно умеет использовать два порта, и потому для него есть отдельный модуль ip_conntrack_ftp, ещё есть модуль для ftp  на случай если клиент позади NAT и т.д. и т.п.

Стандартный способ узнать по UFW это в консоли

Код: [Выделить]

man ufwЕсли с ан.яз. совсем проблемы, то поставить и использовать stardict ( sudo apt-get install stardict ) и найти в инете к нему словарь Мюллера, он беспалевный, тот словарь можно использовать. Есть ещё русский сайт Ubuntu, в теории там может быть русский мануал, или ссылка на него.

Про пинг ищите по словам "основы TCP/IP ICMP ping"
http://ru.wikipedia.org/wiki/Ping
http://ru.wikipedia.org/wiki/ICMP
Для разрешения пингов надо разрешить или вообще ICMP или ICMP типов используемых утилитой ping.