HOWTO: Iptables для новичков

[jnrhsnm]

А зачем, именно роутером?

[AnrDaemon]

Чтобы работало. Глупый вопрос.

[watashi]

Как более безопасно на домашней машине настроить фаерволл (тобишь iptables)? Хочется оставить открытми только крайне важные порты: для браузера, асечки ака Пиджин/Эмпати, почтовика и Трансмишн.

Другие порты не нужны, т.к. домашней Сети у меня нет и сервака тоже нет и не собираюсь этого делать

[AnrDaemon]

Как более безопасно на домашней машине настроить фаерволл (тобишь iptables)?

Вопрос из серии "как лучше всего одеваться"? Тут же напрашивается ответный вопрос "а куда вы собираетесь"?

Хочется оставить открытми только крайне важные порты: для браузера, асечки ака Пиджин/Эмпати, почтовика и Трансмишн.

Другие порты не нужны, т.к. домашней Сети у меня нет и сервака тоже нет и не собираюсь этого делать

Как машина подключена к интернету?

[watashi]

Как более безопасно на домашней машине настроить фаерволл (тобишь iptables)?

Вопрос из серии "как лучше всего одеваться"? Тут же напрашивается ответный вопрос "а куда вы собираетесь"?

Хочется оставить открытми только крайне важные порты: для браузера, асечки ака Пиджин/Эмпати, почтовика и Трансмишн.

Другие порты не нужны, т.к. домашней Сети у меня нет и сервака тоже нет и не собираюсь этого делать

Как машина подключена к интернету?

Ноут подключен через Вафлю, тобишь вай-фай-роутер Там, конечно, тоже есть фаер, но я ему не верю. Лишних фаеров не бывает

Короче, задачи у меня самые простые - аська, почта, инет, торренты. Вот и все Никаких серваков и прочей мутоты типа дистанционных десктопов и ФТП

[AnrDaemon]

Ноут подключен через Вафлю, тобишь вай-фай-роутер Там, конечно, тоже есть фаер, но я ему не верю. Лишних фаеров не бывает

Смешно. Там фаер защищает не вас от инета, а интернет от вас. А вас защищает NAT, который есть самый надёжный фаер.
Ответ - не заморачивайся.

[jnrhsnm]

Глупый вопрос.

Может ошибаюсь, но про роутер я ответ принял как ответ на мой вопрос. Только я сразу написал, что все работает, и целью было есть ли ошибки в правилах. Извеняюсь значит.
Лирика. Обычно мопеды(так себе) провик дает по дефолту. Очень редко у кого эти мопеды могут хорошо работать роутером(ну или как у нас сейчас провик дает zyxel дефолтными), покупать новый мопед перебор(мостом же в норме все), переподключать ради нового мопеда тоже смешно.

[AnrDaemon]

Лирика. Обычно мопеды(так себе) провик дает по дефолту.

Обычно провайдеру не выгодно выдавать "так себе" железки. Геморрой клиента - это плохо для бизнеса.

Очень редко у кого эти мопеды могут хорошо работать роутером

Это у вас информация от известного агентства ОБС?

(ну или как у нас сейчас провик дает zyxel дефолтными), покупать новый мопед перебор(мостом же в норме все), переподключать ради нового мопеда тоже смешно.

Повторяю ещё раз вопрос - в чём проблема настроить роутер роутером?
Отвлечённый вопрос: Почему простые решения в людей приходится загонять паровым молотом?

[jnrhsnm]

Обычно провайдеру не выгодно выдавать "так себе" железки. Геморрой клиента - это плохо для бизнеса.

Это у вас информация от известного агентства ОБС?

Повторяю ещё раз вопрос - в чём проблема настроить роутер роутером?
Отвлечённый вопрос: Почему простые решения в людей приходится загонять паровым молотом?

1 часть пропущу.
По 2, да нет знаете ли от таких же обладателей дсл по всей республике:)
По 3, если нет ничего сказать про правила, я пасс. Пусть будет по вашему, роутер, и "паровым молотом". В моем случае роутером теряется скорость в ~ 600-700килобит. Если ночью 2 МБ/c, то минус ~600-700.
Извеняйте за беспокойство.

[AnrDaemon]

Залить прошивку, в которой исправлена потеря скорости?

[shaulyn]

Помогите плииз найти в чем ошибка в правилах iptables, очень нужна помощь обсуждения тут https://forum.ubuntu.ru/index.php?topic=95312.0

[watashi]

А вас защищает NAT, который есть самый надёжный фаер.
Ответ - не заморачивайся.

Откуда взялся НАТ? У меня провайдер выдает всем выделенные айпи

[AnrDaemon]

Откуда взялся НАТ? У меня провайдер выдает всем выделенные айпи

Из роутера. Или выпрямляйте свои мозги прежде чем на форуме постить.

[chikatillo]

Предупреждение при запуске скрипта в 10.04

Setup PREROUTING ...
Using intrapositioned negation (`--option ! this`) is deprecated in favor of extrapositioned (`! --option this`).
Setup POSTROUTING ...
Using intrapositioned negation (`--option ! this`) is deprecated in favor of extrapositioned (`! --option this`).


$IPTABLES -t nat -A PREROUTING -i eth0 -p tcp -d ! 192.168.0.0/16 -m multiport --dport 80,8080,10000 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s ! $INET_IP -j SNAT --to-source $INET_IP

Идентичный скрипт в 8.04 не каких сообщений не выдавал

[AnrDaemon]

И... ?