помогите с iptables

[staff_nowa]

Здраствуйте,

имеется ubuntu server
на котором установлен ssh+apache+sendmail

у меня не получается заставить посылать sendmail почту (просто firewall блочит и ни как не могу настроить)

Код: [Выделить]

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             192.168.1.105       tcp dpt:ssh
ACCEPT     tcp  --  anywhere             192.168.1.105       tcp dpt:www
ACCEPT     tcp  --  anywhere             192.168.1.105       tcp dpt:smtp

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  192.168.1.105        anywhere            tcp spt:ssh
ACCEPT     tcp  --  192.168.1.105        anywhere            tcp spt:www
ACCEPT     tcp  --  192.168.1.105        anywhere            tcp spt:smtp

кто чем может помочь ?
что тут не так

[Гарри Кашпировский]

что тут не так

Код: [Выделить]

Chain FORWARD (policy DROP)
target     prot opt source               destination

[staff_nowa]

что тут не так

Код: [Выделить]

Chain FORWARD (policy DROP)
target     prot opt source               destination

тут какое - то правило должно быть ?

[fisher74]

Код: [Выделить]

Chain FORWARD (policy DROP)

Гхммм, а резве пакеты с локальных процессов в цепочку FORWARD попадают?

[Гарри Кашпировский]

попадает. Можно даже посмотреть
iptables -L FORWARD -vn

[staff_nowa]

попадает. Можно даже посмотреть
iptables -L FORWARD -vn

да нет не поподает

[fisher74]

Только мне стало казаться, что я основные моменты таблесов понял, а в дополнительных плаваю...
И тут на тебе, удар в спину...

[staff_nowa]

может есть какие хорошие книги про iptables для новичка :? а то я совсем не понимаю iptables а надо сервак настроить

[AnrDaemon]

OUTPUT DROP обычно всегда означает ошибку настройки.

[fisher74]

может есть какие хорошие книги про iptables для новичка

Заглядываю в wiki, но что-то видимо там умалчивается...

P.S. про фирменный man знаю, но он к сожалению на импортном языке, перевод для меня с которого будет хуже, чем этоже вики

[Mam(O)n]

Chain OUTPUT (policy DROP)

ACCEPT     tcp  --  192.168.1.105        anywhere            tcp spt:smtp

А ведь у инициированных коннектов с сервера порт источника он будет случайный!!!

И да,

OUTPUT DROP обычно всегда означает ошибку настройки.

!!!

[staff_nowa]

хотите сказать что OUTPUT траффик всё время будет ACCEPT и не опасно егтак оставлять ?

[drako]

хотите сказать что OUTPUT траффик всё время будет ACCEPT и не опасно егтак оставлять ?

Именно так. Потому как любое приложение использует случайный порт для создания исходящего соединения.

[staff_nowa]

вот смотрю пример

Код: [Выделить]

iptables -F # Очищаем все цепочки таблицы filter
iptables -N check_untrusted # Создаем специальную цепочку для проверки пакетов из нашей подсети
iptables -A check_untrusted -s 10.122.72.11 -j RETURN # Разрешенный хост — выходим
iptables -A check_untrusted -s 10.122.180.91 -j RETURN # Разрешенный хост — выходим
iptables -A check_untrusted -j DROP # Остальных — молча игнорируем
# Разрешаем пакеты по уже установленным соединениям
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# Пакеты из недоверенной подсети проверяем по списку
iptables -A INPUT -s 10.122.0.0/16 -j check_untrusted
# Всем остальным разрешаем доступ к нужным портам
iptables -A INPUT -p tcp -m multiport --dports 22,53,8080,139,445 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dports 53,123,137,138 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
# «Хорошим» хостам, обращающимся на неправильные TCP-порты, вежливо сообщаем об отказе
iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# Для всех остальных протоколов используем стандартный REJECT с icmp-port-unreachable
iptables -P INPUT REJECT
iptables -P OUTPUT ACCEPT # На выход — можно все

и не понимаю почему ругается на

Код: [Выделить]

iptables -P INPUT REJECT

как я понимаю тут ошибка в коде ?

[Mam(O)n]

Потому что политикой по умолчанию может быть только либо ACCEPT либо DROP