HOWTO: Iptables для новичков

[alexxnight]

Пакеты состояний не имеют.
Система conntrack отслеживает соединения и присваивает им состояния(а также их отслеживает) у "себя в голове".
В этом одна из фич iptables.

Если нужно более подробно объяснить, спросите...

[fisher74]

С а. абсолютно согласен (хотя обычно для OUTPUT в политике по-умолчанию используют ACCEPT)

Бывают необычные случаи и требования к безопасности, отличные от обычных

С b. не согласен: для этого случая используется
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Опять же политику безопасности можно строить по разному.

С b. не согласен: либо политика по-умолчанию ACCEPT, либо:
iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Ну я уже сказал про различные политики безопасности

Общее правило:

В общих случаях, да. Именно так.
Но был задан вопрос прокомментировать моё заявление, что всё зависит от положения правила и в какой цепочке. Я объяснил и привёл примеры, не утверждая, что это есть правила для подражания.
Скорее это пример того, что нужно всё-таки полностью правила показывать при просьбах выявить проблему, а не заниматься литературными излияниями.

[alexxnight]

... нужно всё-таки полностью правила показывать при просьбах выявить проблему, а не заниматься литературными излияниями.

абсолютно согласен. за это спасибо!

[Druge]

AnrDaemon
Меня отсюда опять вернули в эту тему. Говорят, что OPERA указанным способом не блокирует входящие соединения и надо дорабатывать iptables.

[AnrDaemon]

AnrDaemon
Меня отсюда опять вернули в эту тему. Говорят, что OPERA указанным способом не блокирует входящие соединения и надо дорабатывать iptables.

При чём тут входящие соединения?? Поставьте задачу нормально.

[Druge]

Здесь  я Вам вопрос задал с описанием проблемы.
Потом Вы помогли поставить OPERA и я отправился туда узнавать как запретить диапазон IP.

[AnrDaemon]

"Сайты общаются" исходящими соединениями (google://polling). Входящие принимать некому, если только вы специально это не разрешили и настроили.

[Druge]

Разрешения у меня следующие:

Код: [Выделить]

    $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

[AnrDaemon]

Разрешения у меня следующие:

Код: [Выделить]

    $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Никакого отношения к вашему вопросу не имеет.

[alexxnight]

Разрешения у меня следующие:

Код: [Выделить]

    $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Никакого отношения к вашему вопросу не имеет.

Ну уж скажите человеку как сделать... а то грустно смотреть на "глухие телефончики"

[bubuntu-ru]

Если на пк нет днс сервера, зачем вообще разрешать -s -d 53 порт.

[fisher74]

Чтобы хост мог обратиться к стороннему DNS-серверу.

[bubuntu-ru]

А что, без открытия 53 не судьба что ли. Может тогда и  80 порт открыть, чтобы на сторонние сайты зайти.

[AnrDaemon]

Ну уж скажите человеку как сделать... а то грустно смотреть на "глухие телефончики"

Сказали уже. По его вопросу тут советов не дают, ибо на уровне сетевого фильтра можно только заблокировать вообще весь трафик на конктерный узел. А SMF поллинг реквестами http://domain/forum/?action=keepalive;<hash> блокируется в Опере добавлением
*action=keepalive;*
в список блокируемого контента. (как пример)
Пользователь решил продолжить мысль 11 Апреля 2011, 23:56:50:

А что, без открытия 53 не судьба что ли. Может тогда и  80 порт открыть, чтобы на сторонние сайты зайти.

Не путайте UDP с TCP.

[alexxnight]

А что, без открытия 53 не судьба что ли. Может тогда и  80 порт открыть, чтобы на сторонние сайты зайти.

видимо, имелось в виду, открыть исходящий трафик UDP на 53 порт...