URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 4971
[ Назад ]

Исходное сообщение
"IPCHAINS...."
Отправлено BUG , 29-Сен-00 17:48

Доброго времени суток всем!
Объясните мне такому бестолковому, плиз, что я не допонимаю. Ситуация следующая. Пытаюсь склепать файервол на RedHat 6.0 и ipchains 1.3.9. Конфигурация сети один в один (естественно кроме адресов) совпадает с конфигурацией примера описанного в HOWTO к данной версии ipchains (eth0 смотрит в инет на провайдера, eth1 внутренняя сеть с реальными адресами, eth2 приватная сеть с адресами 192.168...). Собрал я правила так как там написано и наблюдается следующая картина: после того как запускается файервол связь напрочь отрубается. Все начинает работать только после того как из правил убираются записи типа "ipchains -A bad-dmz -j DENY" (они стоят последними в каждой цепочке). Вот я и не понимаю каким образом заворачивать все пакеты, не подходящии к правилам. Может я чего не так сделал?

Содержание

RE: IPCHAINS....,Edik Astafiev, 19:53 , 06-Окт-00
RE: IPCHAINS....,one, 13:25 , 10-Окт-00

Сообщения в этом обсуждении

"RE: IPCHAINS...."
Отправлено Edik Astafiev , 06-Окт-00 19:53

>... Вот я
>и не понимаю каким образом
>заворачивать все пакеты, не подходящии
>к правилам. Может я чего
>не так сделал?

Для встроенных цепочек есть их политика (ACCEPT, DENY, ...) и это надо использовать.
Для других цепочек - все зависит от того чего вы хотите в итоге добиться.
По-моему, чем меньше наворотов, тем лучше. Для input-цепочки лучше - это политика ACCEPT, иначе придется много правил прописывать в ней.
С уважением,
Эдуард А.

"RE: IPCHAINS...."
Отправлено one , 10-Окт-00 13:25

каким образом заворачивать все пакеты, не подходящии к правилам?
Да очень просто
/sbin/ipchains -P input Deny # политика по умолчанию запретить
И так к любой цепочке