>[оверквотинг удален]
>>>> service iptables restart
>>>> echo "Done"
>> Спасиб,,, а вот цепочка INPUT она требует неких вмешательств ???
> если поправите с 22 портом, то в целом для начала пойдет, а
> дальше будите смотреть по нагрузке. из косметических соображений я бы
> # REL, ESTB allow
> iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
> iptables -A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
> опустил бы ниже разрешений по портам, что бы при необходимости видеть статистику
> по портам ни к чему уже установленные соединения ч/з лишний десяток правил пропускать (SYN-один потом пакетов много). для "косметических целей" можно использовать правило с -j LOG в крайнем случае, которое в любое место цепочки ставится и удаляется по мере необходимости.
> и если почты, ftp тут не будет, то ненужно
> под них и порты открывать
а если уж открывать, то проверяя флаг SYN (на установку соединения) - все остальное потом ч/з EST,REL пролетит. по старинке это выглядело так:
-A INPUT -p tcp --dport 22 --syn -m state --state NEW -j ACCEPT
с новым модудем --state может как-то по другому, но суть надеюсь ясна. иначе рискуете получить ч/з ACCEPT на этот порт (и все другие TCP) от всемирного зла по полной.
> iptables -A INPUT -p udp --sport 53 -j ACCEPT
> это не очень красивое правило, если это для ответов , то добавте
> -m state --state ESTABLISHED
это ненужное правило. из вышеуказанного очевидно - своего ДНС нет => все ДНС-соединения будут исходящими изначально и после пакеты попадут под условие RELATED,ESTABLISHED.
2peering - для передачи больших объемов информации (зон например) ДНС может использовать и TCP-протокол, а не только UDP.