forum.lissyara.su

Добавлено: **2011-05-11 8:58:32**

день добрый вопрос следующий
стоит интернет сервер в качестве роутера + работает в роли маршрутизации пакетов (ip_forward 1 в sysctl.conf) за ним стоит почтовый сервер и другое одним словом через него маршрутизируются пакеты в лан.
вот почитав ман по iptables хочу закрыть всё ненужное при помощи цепочки forward т.к маршрутизируемые пакеты идут через неё.
хочу сделать чтоб все порты кроме 21,3128,25,110,143,53 инми словами iptables -A FORWARD -p tcp --dport ! 21,3128,25,110,143,53 -i eth0 -j DROP но запис некорректна, подскажите ошибку?
по умолчанию

Код: Выделить всё

iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT

или лучще по умолчанию
iptables -P FORWARD DROP а потом чё надо в цепочке forward самому открть?
з.ы я новичёк

Добавлено: **2011-05-11 9:05:00**

iptables -A FORWARD -p tcp -m multiport --dport ! 21,3128,25,110,143,53 -i eth0 -j DROP а так?

Добавлено: **2011-05-11 9:10:33**

blade_007 писал(а):iptables -A FORWARD -p tcp -m multiport --dport ! 21,3128,25,110,143,53 -i eth0 -j DROP а так?

Код: Выделить всё

[root@test ~]# iptables -A FORWARD -p tcp -m multiport --dport ! 22,21,3128,25,110,143,53 -i eth0 -j DROP
Using intrapositioned negation (`--option ! this`) is deprecated in favor of extrapositioned (`! --option this`).

Добавлено: **2011-05-11 9:39:39**

Ну сообщение как бы само говорит
iptables -A FORWARD -p tcp -m multiport ! --dport 21,3128,25,110,143,53 -i eth0 -j DROP

Добавлено: **2011-05-11 14:16:59**

blade_007 писал(а):Ну сообщение как бы само говорит
iptables -A FORWARD -p tcp -m multiport ! --dport 21,3128,25,110,143,53 -i eth0 -j DROP

спасибо!

Добавлено: **2011-05-11 19:50:40**

только не надо так делать. Оно ресурсов жрать будет много.
Надо именно второй вариант. В полиси DROP, а что надо пропустить.

forum.lissyara.su

Вопрос по iptables

Вопрос по iptables

Re: Вопрос по iptables

Re: Вопрос по iptables

Re: Вопрос по iptables

Re: Вопрос по iptables

Re: Вопрос по iptables