On Mon, 19 Apr 2004 14:16:07 +0700 "Yury A. Yurevich" <[EMAIL PROTECTED]> wrote:
> Было дело, что Fri, 16 Apr 2004 21:46:24 +0400 > Nicholas писал(а): > > > Vasiliy 'Druid' Misharev wrote: > > > On Thu, Apr 15, 2004 at 08:28:59PM +0400, Nicholas wrote: > > >>Пока же хотелось узнать как сделать так чтоб работала Мозилла у > > >которой >"source port естественно разный". > > > странно что оно у тебя вообще с таким подходом работает. > > > я обычно разрешаю весь icmp, закрываю входящие на 0:1024 и что ещё > > > торчит, и разрешаю то что надо. исходящие разрешаю все. > > Честно говоря я пока не понял за чем мне icmp... > > Что касаемо идеи дать всем локальным приложениям полный Accept - то > > я только что из мира Windows > > где фаерйвол использовался скорее для того чтоб не давать всяким Ос, > > > > Медиаплеерам и др. коммерческим программам > > ходить к себе на сайты без разрешения. Так что выработалась привычка > > > > давать разрешенния конкретным приложениям на определенные порты, > > хотелось бы продолжить традицию. > AFAIK, не получиться. Традиции win в linux особо не приживаются. > Я могу ошибаться (поправьте, отцы), но > 1) iptables не контролирует от какой программы пришел пакет, т.к. он > принимает решение о пропускании/блокировании/... на основе данных из > заголовка, а не из содержимого пакета. не правда Ваша - таблес умеет понимать от какой программы пришел пакет. > 2) порты выше 32000 используются приложениями-клиентами для связи с тоже не _совсем_ верно. привытными считаются порты 1-1024. все что выше (1025-65535) для приложений. > удаленной машиной. Каждый раз предугадать какой порт откроет > приложения нельзя. Т.о. ставя drop на все исходящие, "обламываем" не > только мурзилку-тормозилку, но и все приложения в целом. вообще отладка правил iptables - это очень серьезная тема - но в инете слава Богу, хватает готовых решений именно для домашних машин, но уж если хочется самому это делать - tcpdump в руки. > > -- > Best regards, > Yury A. Yurevich > Registered Linux User #276311 > Debian 3.0r1 Woody kernel 2.6.3 > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] >