FGHIGate на GaNJa NeTWoRK ST@Ti0N - Просмотр сообщения в эхоконференции RU.LINUX
Присутствуют сообщения из эхоконференции RU.LINUX с датами от 24 Jan 02 06:01:34 до 23 Aug 24 12:51:58, всего сообщений: 8555
= Сообщение: 2022 из 8555 ========================================= RU.LINUX =
От : Valentin Davydov 2:5020/400 27 Mar 15 11:10:08
Кому : Alexey Vissarionov 27 Mar 15 11:10:08
Тема : Re: Вопрос по iptables
FGHI : area://RU.LINUX?msgid=<1187500439@ddt.demos.su>+4ec19134
На : area://RU.LINUX?msgid=2:5020/545+5513ae71
= Кодировка сообщения определена как: CP866 ==================================
Ответ: area://RU.LINUX?msgid=2:5020/545+5515276f
==============================================================================
From: Valentin Davydov <sp@m.davydov.spb.su>
> From: Alexey Vissarionov <Alexey.Vissarionov@f545.n5020.z2.fidonet.org>
> Date: Thu, 26 Mar 2015 10:00:00 +0300
>
> PL> Подскажите, как написать правило iptables, чтобы открыть доступ
> PL> клиенту через NAT к любым адресам и портам за исключением одного
> PL> порта. Скажем 25-го
>
>В простейшем случае примерно так:
>
>#!/bin/sh
># rc.firewall
>
>iptables -t filter -F
>iptables -t filter -X
>iptables -t nat -F
>iptables -t nat -X
>iptables -t filter -P INPUT ACCEPT
>iptables -t filter -P OUTPUT ACCEPT
>iptables -t filter -P FORWARD DROP
>
>iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>iptables -t filter -A FORWARD -i lan -o wan -p tcp --dport 25 \
> -m state --state NEW -j REJECT --reject-with tcp-reset
>
>iptables -t filter -A FORWARD -i lan -o wan -m state --state NEW -j ACCEPT
>
>iptables -t nat -A POSTROUTING -o wan -j MASQUERADE
>
>
>Обрати внимание: именно reject и именно tcp-reset.
Только вот не ресет, а как минимум дроп (а ещё лучше молча зарулить
в discard tcp service). Hечего сеть его syncами и твоими rstами засорять.
Вал. Дав.
--- ifmail v.2.15dev5.4
* Origin: Demos online service (2:5020/400)
|
К главной странице гейта
| 
