iptables - odchozí spojení

[Jan Houstek]

> jako firewall používám iptables (+NAT). Chtěl bych jednomu počítači v
> lokálná síti povolit POUZE http protokol a všechny ostatní zakázat.
>
> Můžete mi někdo poradit jak na to? V otázce nastavování firewallů jsem
> naprostý lajk.

IPtables nemaji s protokoly aplikacni vrstvy nic spolecneho (pomineme-li
moznost filtrovat pakety podle vyskytu urciteho retezce apod.). Pracuji
vyhradne na urovni 2 vrstvy (IP) a 3. vrstvy (TCP, UDP, ...).

Vas pozadavek muzete vyresit but tak, ze danemu stroji zakazete vsechno
porty krome 80 (coz nemusi byt zrovna ono, protoze jednak muzou nektere
veci prestat fungovat a na druhou stranu se sikovny clovek stejne dokaze
protunelovat), nebo povolite pristup pouze na vas proxy (napr. squid),
ktery uz lze konfigurovat jemneji (ovsem protunelovat se bude patrne stale
mozne).

-- Honza Houstek