IPTABLES

[Antonín Micka]

Dne čt 30. říjen 2003 10:35 Jirka Kosina napsal(a): 

> On Thu, 30 Oct 2003, Kateřina Bubeníčková wrote:
> > # Povolime odchozi pakety, ktere maji nase IP adresy
> > $IPTABLES -A OUTPUT -s $INET_IP -j ACCEPT
> > jenze ja neznam  $INET_IP - proto pouzivam MASQUERADE muzu misto toho
> > napsat
> > $IPTABLES -A OUTPUT -j ACCEPT     ?

To by znamenalo, ze to, co se dostane az k tomuto pravidlu se povoli, tudiz 
to "prebije" vychzi politiku. Ve tride OUTPUT se obejevi jen to, co jde z 
lokalhost, tudiz to potreba filtrovat neni. Lepsi je, definovat pravidla ve 
tride FORWARD a INPUT. 

>
> To uz muzete rovnou mit
> iptables -P OUTPUT ACCEPT

Ano, tak je to lepsi a i kdyz to ma ve vysledku stejny dopad, je to 
efektivnejsi.

>
> > Co jineho muze v OUTPUTu byt, nez to, co jde z meho pocitace, na kterem
> > je FW nebo z domaci site?
>
> Ono tech kontrovzerznich veci v tom serialu na rootu bylo ponekud vic -
S tim budu souhlasit.
> osobne se domnivam, ze skutecne nema cenu provadet jakoukoliv filtraci v
> chainu OUTPUT (mezi dalsi kontroverzni vec v tomto clanku bych bez vahani
> zaradil omezovani poctu prijatych SYN packetu za vterinu pomoci --limit).
> Pravdepobone toto pravidlo ma znemoznit aby nekdo odesilal zevnitr site
> packety z falsovanou zdrojovou IP adresou.

Take bych vam doporucil pouzit stavovych pravidel. Pokud budete potrebovat 
dasli radu, klidne se muzete obratit primo na me.

-- 

Antonín Mička
===========