Evening, Nicholas.
Nicholas <[EMAIL PROTECTED]> 20:28 15/4/2004 wrote:
N> Vasiliy 'Druid' Misharev wrote:
>> On Wed, Apr 14, 2004 at 07:18:30PM +0400, Nicholas wrote:
>>>Далее в логах было замечено ...SPT=32871 DPT=80 WINDOW=32767...
>>> и появилось предположение что адрес нужен каждый раз разный завязанный
>>> на window.
>> source port естественно разный каждый раз. а что у тебя в iptebles-то
>> написано?
N> Правила задаются скриптом:
[skip]
N> и так далее по разным дресам (udp 61, 66-68, 137-139 и др, tcp 25, 53,
N> 80, 110, 119...) сейвятся и лоудятся автоматом. Я уже понял что так не
N> правильно, а правильно смотреть кто инициатор - изучаю этот вопрос.
N> Пока же хотелось узнать как сделать так чтоб работала Мозилла у которой
N> "source port естественно разный".
Мда... Может, лучше сначала потренироваться на кошках? Ставь какую-то
user-friendly обертку вокруг языка iptables (мне нравиться firehol), пиши
правила на более высокоуровневом языке описания правил. Пример:
interface eth0 lan dst "172.20.66.65/32 172.20.66.255"
policy reject
server ident reject with tcp-reset
server dns accept
server "ftp http https" accept
client all accept
Дальше смотри, в какие правила iptables это "компилируется", и либо
дорабатывай свои скрипты, либо продолжай пользоватся "обертками" (что, как
по мне, удобнее в 100 раз).
--
Dmitry Astapov //ADEpt
GPG KeyID/fprint: F5D7639D/CA36 E6C4 815D 434D 0498 2B08 7867 4860 F5D7 639D
