On Thursday 09 March 2006 09:42, Nikola Antonov wrote: Направи ми впечатление, че в променливата $PORT си посочил конкретни портове за пропускане, но не видях някъде да имаш "-j DROP" за всичко останало. Защо не промениш долното правило да прилага действие DROP вместо RETURN?
> > $IPT -A tcp_inbound -p TCP -j RETURN Това може и да оправи нещата. Принципно аз не съм фен на подобни решения. За мен е винаги много съмнителен от гледна точка на функционалност и оптимизация firewall, който още от самото начало не задава политика по подразбиране DROP на всички вериги. Простата логика предполага първо да се блокира всичко на ниво политика и после да се разрешат изрично исканите услуги. Само така може да сме сигурни, че от плетеницата в правила няма да "изтече" нещо. А и по този начин се постига максумим ефективност с минимум код. -- Linux-BG.org -- System Administrator -- tel: +359 2 976 13 02 mobile: +359 889 90 99 11 -- Public GnuPG key at http://wwwkeys.pgp.net Fingerprint: AD64 2468 0AB4 B298 E7E3 92DA 15F5 7AC5 A05E 0F63
