iptables и ppp

0

0

Настраиваю фаервол на dialup, а конткретней цепочку output, интересуют службы postgres (5432 port tcp) и radius (1812, 1813 udp), для них прописывал accept (политика по умолчанию для цепочки output - drop): 1) iptables -A OUTPUT -p 17 --m multiport --sport 1812,1813 -d ip_clients -j ACCEPT 2) iptables -A OUTPUT -p 6 --sport 5432 -d ip_clients -j ACCEPT 3) iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT

проблема в том, что при дозвоне дропаются какие-то пакеты и соединение не происходит, ставил опцию LOG на всю цепочку output, но ничего нового не увидел. Напрашивается протокол ppp, но в iptables протокол ppp не принимается, да и в файле /etc/protocols его нет, прописывал также такие варианты: iptables -A OUTPUT -o ppp0 -j ACCEPT

тоже не сработало,

в чем же проблема?

Ссылка

←	как настроить виртуальные директории vsftp

Ifmail не компилируется

→

Как при дозвоне могут дропаться пакеты ?

у меня иптабло запускается при загрузке политика на все цепочки дроп, но дозвон происходит нормуль, соединяюсь и работаю ...

DEH ★
(23.06.04 09:50:48 MSD)

Ответ на: комментарий от DEH 23.06.04 09:50:48 MSD

я настраиваю сервер диалап, а не киентскую машину, дозвон делаю сам для проверки, все что описано в вопросе - для СЕРВЕРА

anonymous
(23.06.04 10:33:29 MSD)

Ссылка

Ответ на: комментарий от DEH 23.06.04 09:50:48 MSD

anonymous
(23.06.04 10:36:29 MSD)

Ссылка

A INPUTы ты чего вообще не прописывал ?! Или там политика у тебя по умолчанию ACCEPT для всех ?! Я так понимаю что ты настраиваешь Сервер для входящих соединений для диалапа !?

anonymous
(23.06.04 14:36:20 MSD)

Ответ на: комментарий от anonymous 23.06.04 14:36:20 MSD

Все остальные цепочки INPUT, FORWARD настроены нормально - сервер работает и обслуживает клиентов без проблем, осталось только настроить выходную цепочку, то есть когда стоит политика ACCEPT на OUTPUT, все нормально ! когда пишу правила которые указал в самом первом посте и ставлю политику DROP - возникают проблемы...

PS на всякий случай напишу что для цепочки OUTPUT тоже надо писать правила, так как если в случае взлома через наружные службы, поднимется шелл через какой-нибудь левый порт, то правила на OUTPUT ,будут последней преградой, убрать которую сможет только root..

anonymous
(23.06.04 15:45:03 MSD)

Ответ на: комментарий от anonymous 23.06.04 15:45:03 MSD

Согласен DROPать OUTPUT надо 100 % чтоб не было гемора потом !! Правдо так как ты описал должно работать по смыслу все правильно

anonymous
(23.06.04 17:21:53 MSD)

Ссылка

Может для них нужны еще порты допустим для авторизации нужен еще порт для передачи аутентификации, правдо он у тебя бы всплыл в логе ! Ты INPUT и FORWARD точно нормально прописал ?! Пакет проходит от клиента доходит вообще к Postgresy(я так понял база здесь лежит) ?

anonymous
(23.06.04 17:31:47 MSD)

Ссылка

Посмотрите tcpdump-ом или Ethereal

archont ★★★
(23.06.04 18:35:56 MSD)

Ответ на: комментарий от archont 23.06.04 18:35:56 MSD

по идее портов других нет а значит работать должно, а насчет сниффера его куда ставить на какой интерфейс на сетевуху не пойдет - попробую на какой нибудь ppp0 может что и выйдет ....

anonymous
(23.06.04 19:08:44 MSD)