Решено: Помогите с iptables

[Boris_nemec]

у меня ALTLinux Desktop 4.0, сетевая eth0 и через нее настроен pppoe интернет.
в линуксе я новичок, поэтому сгенерировал правила с помомощью alterator-firewall в Центре управления системой (www) на интерфейс eth0 (потому что ppp0 в выборе интерфейсов не было).
Получилось примерно такое:
# Generated by iptables-save v1.3.7 on Wed Jan 16 02:50:04 2008
*filter
:INPUT ACCEPT [212:116772]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [229:96963]
:stdfwd - [0:0]
:stdin - [0:0]
:stdout - [0:0]
-A INPUT -j stdin
-A FORWARD -j stdfwd
-A OUTPUT -j stdout
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 8080 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 53 -j ACCEPT
-A stdin -d 10.x.x.x -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 20 -j ACCEPT
-A stdin -d 10.x.x.x -i eth0 -p udp -m udp --dport 20 -j ACCEPT
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A stdin -d 10.x.x.x -i eth0 -p udp -m udp --dport 21 -j ACCEPT
-A stdin -d 10.x.x.x -i eth0 -p icmp -j ACCEPT
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 143 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p udp -m udp --dport 143 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 220 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p udp -m udp --dport 220 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 993 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p udp -m udp --dport 993 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 109 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p udp -m udp --dport 109 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 110 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p udp -m udp --dport 110 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 995 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p udp -m udp --dport 995 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 3128 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 137 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p udp -m udp --dport 137 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 138 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p udp -m udp --dport 138 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 139 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p udp -m udp --dport 139 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 445 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p udp -m udp --dport 445 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p udp -m udp --dport 25 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 465 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 587 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p udp -m udp --dport 587 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 161 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p udp -m udp --dport 161 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p udp -m udp --dport 162 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A stdin -d 10.x.x.x -i eth0 -p udp -m udp --dport 22 -j ACCEPT
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 23 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p udp -m udp --dport 23 -j REJECT --reject-with icmp-port-unreachable
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A stdin -d 10.x.x.x -i eth0 -p udp -m udp --dport 80 -j ACCEPT
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A stdin -d 10.x.x.x -i eth0 -p udp -m udp --dport 443 -j ACCEPT
COMMIT
# Completed on Wed Jan 16 02:50:04 2008

сделал /sbin/iptables-save > /home/boris/Desktop/iptables
скопировал в /etc/sysconfig
...решил проверить действительно ли все работает bd строчках:
-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A stdin -d 10.x.x.x -i eth0 -p udp -m udp --dport 80 -j ACCEPT
заменил ACCEPT на DROP
/etc/init.d/./iptables restart
а яндекс работает пуще прежнего...
безопасность оказалась под сомнением.
подскажите, пож-та, в чем проблема?

[skeletor]

Насколько я знаю нужно ещё указывать source, а у тебя его нет в строчках

Код: Выделить всё

-A stdin -d 10.x.x.x -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A stdin -d 10.x.x.x -i eth0 -p udp -m udp --dport 80 -j ACCEPT

[Boris_nemec]

сделал так
-A stdin -d 10.x.x.x -s 0.0.0.0 -i eth0 -p tcp -m tcp --dport 80 -j DROP
-A stdin -d 10.x.x.x -s 0.0.0.0 -i eth0 -p udp -m udp --dport 80 -j DROP
-A stdin -s 10.x.x.x -d 0.0.0.0 -i eth0 -p tcp -m tcp --dport 80 -j DROP
-A stdin -s 10.x.x.x -d 0.0.0.0 -i eth0 -p udp -m udp --dport 80 -j DROP
все равно яндекс грузиться

[another2007]

А я вообще не в курсе как там этот файрвол работает. Сама-то система пашет. Ну там сайты все грузятся, локалка пашет. Стоит последний альт десктоп персонал. Пользуясь схожим случаем, можете рассказать новичку как вообще надо и надо ли вообще настраивать файрвол через этот иптэблс или как?

[Boris_nemec]

мне вообще кажеться странным, что на форуме мало внимания уделено безопасности (в частности iptables) в ALTLinux. Такое ощущение, что ни у кого с этим проблем нет. С другими дистрибутивами у меня проблем с фаерволом не возникало... может кто ссылку даст полезную??? ...или поделиться конкретными настройками iptables для домашнего компа???

[Boris_nemec]

Решил проблему с помощью firestarter