Недавно решил более качественно настроить iptables.
За основу взял вот этот скрипт, дописал туда пару пунктов.
Но непонятен один момент: открытие портов для aMule.
На сайте аМуля написаны правила:
iptables -A INPUT -p tcp --dport XX -j ACCEPT
iptables -A INPUT -p udp --dport XX+3 -j ACCEPT
iptables -A INPUT -p udp --dport YY -j ACCEPT
#If your OUTPUT rules is DROP(iptables -P OUTPUT DROP) you have to allow the 2 UDP port.
iptables -A OUTPUT -p udp --sport XX+3 -j ACCEPT
iptables -A OUTPUT -p udp --sport YY -j ACCEPT
Я их передрал себе в скрипт (порты конечно же корректные).
Но подключаясь к серверу аМуль говорит, что получает LowID и надо настраивать порты для более качественной работы.
Я подумал, и переделал правила более подходяще к остальным записям в скрипте:
$IPT -A INPUT -p tcp -i $INET_IFACE --dport 4662 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p udp -i $INET_IFACE --dport 4665 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p udp -i $INET_IFACE --dport 4672 --sport $UNPRIPORTS -j ACCEPT
$IPT -A OUTPUT -p udp -o $INET_IFACE --sport 4665 --dport $UNPRIPORTS -j ACCEPT
$IPT -A OUTPUT -p udp -o $INET_IFACE --sport 4672 --dport $UNPRIPORTS -j ACCEPT
И, всё равно, Low ID.
Подскажите пожалуйста, что я делаю не так?
Может в исходном скрипте были правила конфликтующие с моими?
Не трогай ІР тейблс, если не знаеш что оно такое
Амуль начал коннектиться нормально после коментирования строки:
$IPT -A INPUT -m state ! -i lo --state NEW -j DROP
тю, не понятно зачем оно все? это-ж не винда с вирусами
Это ж не от вирусов, а от злых хакеров, которые хотят мой комп ломануть.
не нужно это даже на серверах - точнее не поможет, так как для вэб сервера надо все равно открыть 80-й порт, для фтп все равно надо открыть 20-21-й порты - то есть безопасность будет все равно держаться на базопасности приложения висящего на порту, а зачем закрывать порты на которых все равно ничего нет - не понятно - таким образом и на серверах фаервол - лишнее, ну разьве что от каких-то хитрых дос фильтроваться, но и тут нет реальных рецептов. Другое дело на сервере для раздачи инета в офисе - там да, там и нат нужен и трафик через htb пропорционально надобности делить, но уж для безопасности... не знаю чем он может помочь, особенно если трафик не лимитирован...
спасибо... посмеялся...
Ребят вы интернет только вчера увидели, да? Даже при том, что для некоторых демонов нужны открытые порты как 80 и 21 для фтп, это совершенно не означает, что на остальные 65000 портов ВАШЕГО компьютера к вам никто не захочет зайти и побаловаться :) будьте реалистами конце концов! И хватит путать уже межсетевой экран с антивирусом, ну разные это вещи, СОВСЕМ разные!!!!
А приведенный в первом посте скрипт, очень даже любопытный для изучения, но опять же, для изучения, поскольку фаервол это защита ВАШЕГО сетевого интерфейса и тут стандартов быть не может в принципе! Забывайте Windows и учитесь читать :) Для тех, для кого данный вопрос не для забавы ради, очень советую прочитать хотя бы один раз вдумчиво http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
Отправить комментарий