Hello, 10 Mar 2006 15:23:18 +0300, StreSS<[EMAIL PROTECTED]> написал(а): > > >> > >> Что здесь не так > > DB >> Мануал плохо читали. > > ТОГДА я вообще не понимаю по какому принципу > обрабатываются правила. > Остается одно и самое тупое: > Чем выше(раньше заданно) правило тем оно главнее?
В пределах таблицы да. В Вашем случае, все начинается в цепочке INPUT. Проверяется, что пакет на 20 или 21 порт и, если это не так, отбрасывается (Ведь Вы поставили -P INPUT DROP?). При этом passive ftp Вы уже отрубили. # iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT тем и хороша, что позволяет почти не заботиться о портах, протоколах и т.п. Пакеты от установленных соединений сразу разрешаются, не проходя всю (иногда достаточно большую) таблицу фильтрации. Также этим правилом разрешаются все пакеты, относящиеся к установленным соединениям. Например тот самый passive ftp. Еще недостаток вашей системы фильтрации: DROP'ается весь ICMP трафик. А это иногда _очень_ неприятно. Не зря же протокол придумывали? -- With best wishes Dmitry Baryshkov
