Не иогу выйти в локальную сеть.

[T04ka]

Вот такая проблемма: не могу войти на внутресетевой ftp сервер.
Интернет работает, если сбросить правила iptables, то все работаер.
Правила я писал для dialup, но и с локальной сетью должны работать.

Morda добавил в 06.09.2005 13:55

Извиняюсь за опечатку в название темы.

[Malcolm]

Ты сам ответил на свой вопрос.
Копай iptables, видимо "неправильное правило" загнал туда

[T04ka]

Ты сам ответил на свой вопрос.
Копай iptables, видимо "неправильное правило" загнал туда

↑

Если я бы перекопал iptables, я бы не спрашивал здесь.

[Dr. Evil]

сколько у тебя интерфейсов?
ты конектишься по модему, а потом на ftp?
напиши конкретнее, пожалуйста!
может я не внимательно смотрел, но правил для пропускания пакетов по протоколу ftp я не нашел

[Cap. J2A]

Весьма противоречивый скрипт. Такое впечатление, что писалось либо разными людьми, либо одним и тем же человеком, но в очень разное время. Ну и ситуация напоминает героизм китайских комсомольцев: создавать проблему, а потом героически её решать.

Где-то используется контроль стостояний (-m state --state), где-то используется явное перечисление непривелегированных исходящих портов...

В общем, я бы советовал
а) воспользоваться стандартным (для debian) init-скриптом
б) описать желаемый конечный результат (напр. "разрешаем исходящее, запрещаем входящее (ppp*, eth0), для локалки (eth0) открываем www и smb")

Насчёт конкретно вопроса:
IMHO, сработало одно из этих правил
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A INPUT -m state --state INVALID -j DROP

[T04ka]

сколько у тебя интерфейсов?
ты конектишься по модему, а потом на ftp?
напиши конкретнее, пожалуйста!

↑

Интерфейс один eth0. Есть внутресетевой ftp.

Насчёт конкретно вопроса:
IMHO, сработало одно из этих правил
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A INPUT -m state --state INVALID -j DROP

Безполезно.

б) описать желаемый конечный результат (напр. "разрешаем исходящее, запрещаем входящее (ppp*, eth0), для локалки (eth0) открываем www и smb")

Разрешить INPUT и OUTPUT.

а) воспользоваться стандартным (для debian) init-скриптом

Ты про что?

[Cap. J2A]

б) описать желаемый конечный результат (напр. "разрешаем исходящее, запрещаем входящее (ppp*, eth0), для локалки (eth0) открываем www и smb")

Разрешить INPUT и OUTPUT.

Не понял. Просто открыть всё?

а) воспользоваться стандартным (для debian) init-скриптом

Ты про что?

↑

/etc/init.d/iptables для woody
/usr/share/doc/iptables/examples/oldinitdscript.gz для sarge

Естестенно, в /etc/rc*.d iptables не должен попадать. Его вызов нужно прописывать в /etc/network/if-[up|down].d и в /etc/ppp/ip-[up|down].d
Напр., у меня при подъеме сетевых интерфейсов срабатывает /etc/init.d/iptables start (загружается правила active из /var/lib/iptables/active), при останове -- /etc/init.d/iptables stop (загружаются правила inactive из /var/lib/iptables/inactive). При подъеме ppp срабатывает /etc/init.d/iptables load forward (загружаются правила /var/lib/iptables/forward) и включается NAT.

У меня при подъеме ppp правила предварительно сбрасываются (/etc/init.d/iptables/halt), поэтому в active и forward правила повторяются. В принципе, можно сделать per-interface правила и включать их при подъеме соответствующего интерфейса (на самом деле, при чуть более сложных правилах так и надо делать)