Было дело, что Fri, 16 Apr 2004 21:46:24 +0400 Nicholas писал(а):
> Vasiliy 'Druid' Misharev wrote: > > On Thu, Apr 15, 2004 at 08:28:59PM +0400, Nicholas wrote: > >>Пока же хотелось узнать как сделать так чтоб работала Мозилла у > >которой >"source port естественно разный". > > странно что оно у тебя вообще с таким подходом работает. > > я обычно разрешаю весь icmp, закрываю входящие на 0:1024 и что ещё > > торчит, и разрешаю то что надо. исходящие разрешаю все. > Честно говоря я пока не понял за чем мне icmp... > Что касаемо идеи дать всем локальным приложениям полный Accept - то я > только что из мира Windows > где фаерйвол использовался скорее для того чтоб не давать всяким Ос, > Медиаплеерам и др. коммерческим программам > ходить к себе на сайты без разрешения. Так что выработалась привычка > давать разрешенния конкретным приложениям на определенные порты, > хотелось бы продолжить традицию. AFAIK, не получиться. Традиции win в linux особо не приживаются. Я могу ошибаться (поправьте, отцы), но 1) iptables не контролирует от какой программы пришел пакет, т.к. он принимает решение о пропускании/блокировании/... на основе данных из заголовка, а не из содержимого пакета. 2) порты выше 32000 используются приложениями-клиентами для связи с удаленной машиной. Каждый раз предугадать какой порт откроет приложения нельзя. Т.о. ставя drop на все исходящие, "обламываем" не только мурзилку-тормозилку, но и все приложения в целом. -- Best regards, Yury A. Yurevich Registered Linux User #276311 Debian 3.0r1 Woody kernel 2.6.3
