Доброго дня
В Сбт, 05/01/2008 в 11:40 +0300, sergicus s пишет: > Большое спасибо за ответ рекомендуется к прочтению :-) http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html#TRAVERSINGOFTABLES > > Плохо смотрел > > $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > > кажется вы правы > Все поскипаетм и рассмотрим цепочку FORWARD <skip> > $IPT -P FORWARD DROP #по умолчанию все транзитные пакеты запрещены <skip> > > #FORWARD > > $IPT -A FORWARD -m state --state INVALID -j DROP > $IPT -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT Ниже лишнее, т.к. такое не может быть > $IPT -A FORWARD -i ! lo -s 127.0.0.1 -j DROP > $IPT -A FORWARD -i ! lo -d 127.0.0.1 -j DROP > > Как вы видете я разрешил исходящие (это пока) все и добавил в > $IPT -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > слово NEW > > и все начало работать. Добавление NEW здесь эквивалентно $IPT -P FORWARD ACCEPT, т.е никакой фильтрации не происходит. > > Сейчас буду колупать дальше (и думать) Заранее благодарен за советы > Советы: ;-) - прочитать документ (и глянуть другие на том же сайте). - уяснить, что а) транзитный трафик мы фильтруем в цепочке FORWARD и работает с реальными интерфейсами (eth+, ppp+, tun+). б) локальный (для этого хоста) мы фильтруем в цепочках INPUT и OUTPUT и интерфейсы у нас реальные и плюс _lo_. -- С уважением, Семен. -- ubuntu-ru mailing list [email protected] https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
