[sergleo]

1. Про настройку

Цитата:

iptables

для RH и Fedora было мое сообщение поищите на форуме.... тк именно для них вариант с

Цитата:

iptables-save > /etc/sysconfig/iptables

неподходит...
2. все правила записываются непосредственно в

Цитата:

/etc/sysconfig/iptables

но с определенными ограничениями а не в

Цитата:

скрипт rc.iptables

[McVlad]

550-я ошибка ftp соединения - означает, что клиент пытается работать в Active-mode, а ftp-сервер работает в Passive-mode. Читай - http://www.ipm.kstu.ru/internet/lec/5.php

[m2001]

Цитата:

1. Про настройку Цитата: iptables для RH и Fedora было мое сообщение поищите на форуме.... тк именно для них вариант с Цитата: iptables-save > /etc/sysconfig/iptables неподходит...

Почему это не подходит. Вроде все правила что надо сохраняет. В RH9.0 можно еще сохранять так:
/etc/init.d/iptables save
Если посмотреть скрипт /etc/rc.d/init.d/iptables, там для случая save используется iptables-save.
В любом случае, просмотрев файл /etc/sysconfig/iptables - видно что все правила и цепочки в нем сохранены правильно.

В скрипте используються параметры:
echo "1" /proc/sys/net/ipv4/ip_forward
echo "1" /proc/sys/net/ipv4/conf/all/rp_filter
echo "1" /proc/sys/net/ipv4/conf/all/proxy_arp
echo "1" /proc/sys/net/ipv4/ip_dynaddr

Всё это тоже пофикшено в sysctl.conf

Где еще могут быть грабли зарыты ?

На форуме не нашел сообщения, где описано ограничение при сохранении в RH9.0 с помощью iptables-save.

Цитата:

2. все правила записываются непосредственно в Цитата: /etc/sysconfig/iptables но с определенными ограничениями а не в Цитата: скрипт rc.iptables

Это само собой понятно. В данном случае rc.iptables - это скрипт, который содержит набор команд. При запуске, он сбрасывает все существующие правила, и потом создаёт свои c помощью комманд. Но, эти правила создаются в памяти, а команда
iptables-save > /etc/sysconfig/iptables
или
/etc/init.d/iptables save
сохраняет созданые правила из памяти в файл, чтоб при перезагрузке они загружались.

Цитата:

550-я ошибка ftp соединения - означает, что клиент пытается работать в Active-mode, а ftp-сервер работает в Passive-mode. Читай - http://www.ipm.kstu.ru/internet/lec/5.php

Это тоже понятно, только я упомянул про номер ошибки, для того чтоб можно было прикинуть отчего он так ведет себя после перезагрузки (может в правилах чего не хватает и т.д.), а не чтоб узнать что означает данная ошибка.

[sergleo]

Это точно лучше в

Цитата:

Всё это тоже пофикшено в sysctl.conf

Согласен..

Цитата:

В скрипте используються параметры: echo "1" /proc/sys/net/ipv4/ip_forward echo "1" /proc/sys/net/ipv4/conf/all/rp_filter echo "1" /proc/sys/net/ipv4/conf/all/proxy_arp echo "1" /proc/sys/net/ipv4/ip_dynaddr

НУ например так

Код:

#------------------------------------------------------------------
# Default
*filter

:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

#------------------------------------------------------------
# Unlimited traffic on the loopback interface
-A INPUT  -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

#------------------------------------------------------------
# Stealth Scans and TCP State Flags

# All of the bits are cleared
-A INPUT   -p tcp --tcp-flags ALL NONE -j DROP
-A FORWARD -p tcp --tcp-flags ALL NONE -j DROP

и далее так:

Код:

#------------------------------------------------------------
# Disallowing Connections to Common TCP Unprivileged Server Ports

# X Window connection establishment
-A OUTPUT -o eth1 -p tcp --syn --destination-port 6000:6063 -j REJECT
# X Window: incoming connection attempt
-A INPUT  -i eth1 -p tcp --syn --destination-port 6000:6063 -j DROP

# Establishing a connection over TCP to NFS, OpenWindows, SOCKS or squid
-A OUTPUT -o eth1 -p tcp -m multiport --destination-port 2049,2000,1080,3128,8080 --syn -j REJECT
-A INPUT  -i eth1 -p tcp -m multiport --destination-port 2049,2000,1080,3128,8080 --syn -j DROP

#------------------------------------------------------------
# Disallowing Connections to Common UDP Unprivileged Server Ports
# NFS and lockd
-A OUTPUT -o eth1 -p udp -m multiport --destination-port 2049,4045 -j REJECT
-A INPUT  -i eth1 -p udp -m multiport --destination-port 2049,4045 -j DROP

#------------------------------------------------------------
# DNS Name Server
# DNS Fowarding Name Server or client requests
-A OUTPUT -o eth1 -p udp -s 1.2.3.4 --sport 1024:65535 -d 1.2.3.4 --dport domain -j ACCEPT
-A INPUT  -i eth1 -p udp -s 1.2.3.4  --sport domain -d 1.2.3.4 --dport 1024:65535 -j ACCEPT

Дерзайте...

[sergleo]

для ftp я использую правила...

Код:

#------------------------------------------------------------
# ftp (TCP Ports 21, 20)
# Outgoing Local Client Requests to Remote Servers
# Outgoing Control Connection to Port 21
-A OUTPUT -o eth1 -p tcp -s 1.2.3.4 --sport 1024:65535 --dport ftp -j ACCEPT
-A INPUT  -i eth1 -p tcp ! --syn --sport ftp -d 1.2.3.4 --dport 1024:65535 -j ACCEPT
# Incoming Port Mode Data Channel Connection from Port 20
-A INPUT  -i eth1 -p tcp --sport ftp-data -d 1.2.3.4 --dport 1024:65535 -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s 1.2.3.4 --sport 1024:65535 --dport ftp-data -j ACCEPT
# Outgoing Passive Mode Data Channel Connection Between Unprivileveg Ports
-A OUTPUT -o eth1 -p tcp -s 1.2.3.4 --sport 1024:65535 --dport 1024:65535 -j ACCEPT
-A INPUT  -i eth1 -p tcp ! --syn --sport 1024:65535 -d 1.2.3.4 --dport 1024:65535 -j ACCEPT
#...............................................................
# Incoming Remote Client Requests to Local Servers
# Incoming Control Connection to Port 21
-A INPUT  -i eth1 -p tcp --sport 1024:65535 -d 1.2.3.4 --dport ftp -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s 1.2.3.4 --sport ftp --dport 1024:65535 -j ACCEPT
# Outgoing Port Mode Data Channel Connection to Port 20
-A OUTPUT -o eth1 -p tcp -s 1.2.3.4 --sport ftp-data --dport 1024:65535 -j ACCEPT
-A INPUT  -i eth1 -p tcp ! --syn --sport 1024:65535 -d 1.2.3.4 --dport ftp-data -j ACCEPT
# Incoming Passive Mode Data Channel Connection Between Unprivileved Ports
-A INPUT  -i eth1 -p tcp --sport 1024:65535 -d 1.2.3.4 --dport 1024:65535 -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s 1.2.3.4 --sport 1024:65535 --dport 1024:65535 -j ACCEPT

Дерзайте...

[sergleo]

Старая тема по iptables: http://forum.oszone.net/showthread.p...6&page=0&pp=20 (тока это уже прошлое... но для справки сойдет)