Hello, 10.03.06, Artem Chuprina<[EMAIL PROTECTED]> написал(а): > Dmitry Baryshkov -> debian-russian@lists.debian.org @ Fri, 10 Mar 2006 > 16:31:35 +0300: > > >> DB> В пределах таблицы да. В Вашем случае, все начинается в цепочке > INPUT. > >> DB> Проверяется, что пакет на 20 или 21 порт и, если это не так, > >> DB> отбрасывается (Ведь Вы поставили -P INPUT DROP?). > >> > >> Ты чего-то не то прочел... > > DB> Согласен, это я не прочитал, а додумал. Ибо если стоит не DROP, то > DB> зачем городить весь огород? > > DROP стоит в конце цепочки INPUT, а не каждой вложенной. Покажи мне там > DROP до RELATED,ESTABLISHED. Можно неявный.
Неявный: ACCEPT я вижу только в таблице ALLOWED. А в нее попадают только TCP-пакеты на порты 20, 21. Т.о. пакеты, например, от того же самого 'passive connection' в нее не попадут, а вернутся из TCP_PACKETS в INPUT (я уж не говорю, что DROP в ALLOWED противоречит ее названию). Если в INPUT нет в конце DROP'а (в виде правила или в виде policy), машина будет открыта для любых TCP соединений, кроме FIN,XMAS-скана по портам 20, 21. И зачем тогда настраивать iptables? -- With best wishes Dmitry Baryshkov
