Паранойя у меня. Но как оказалось, с линуксоидного компа вообще интернет недоступен, хотя порты вроде открыты.

(Reply to this) (Parent) (Thread)

паранойя лечится запуском блобятины из-под отдельного юзера, которому-то как раз интернеты можно и прикрыть. как я вайну сделал.

и открой ты всё, не занимайся хуйнёй. в том числе и UDP, потому что DNS-запросы же.

(Reply to this) (Parent) (Thread)

Я, кстати, изгрыз инструкцию по IPTABLES до дыр, но так и не нашел как юзеру интернеты закрыть/открыть.

(Reply to this) (Parent) (Thread)

хуйнёй занимаешься потому что. есть же ferm.

(Reply to this) (Parent) (Thread)

Я его ставил. Но не помню уже, почему снес. То-ли он оказался еще сложнее, чем голый iptables, то-ли просто не взлетел.

(Reply to this) (Parent)

А, да. Оказалось он тогда не взлетел. И я разобрался (наверное) почему. Буду пробовать дальше (а всего-то надо было отвлечься и догадался).
Но если тебе не влом, сможешь привести пример конфига для этой штуковины?
Чтоб оно делало следующее:
#Open standart ports (from computer)
echo "Open standart ports (DNS,WWW, email) from server"
# 53-DNS,80 8080/tcp - WWW, 443/tcp - https, 110,443,25,587 - e-mail 873/tcp - rsync (for sbopkg)
iptables -A INPUT -p udp -m multiport --sports 53 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --sports 53,80,8080,443,110,443,25,587,873 -j ACCEPT
iptables -A OUTPUT -p udp -m multiport --dports 53 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dports 53,80,8080,443,110,443,25,587,873 -j ACCEPT

Можно не все порты, хотя бы 2.
И блин я решительно не понимаю, почему на старом компе оно и так работало, а на новом с той же конфигурацией не летит, хоть тресни.

(Reply to this) (Parent) (Thread)

я хуй знает, что вот эти все буквы делают, у меня никогда не хватало мозга понять. я потому ferm и использую. ты словами напиши, чо надо.

(Reply to this) (Parent) (Thread)

Для доступа с компьютера открыть порты 53-DNS,80 8080/tcp - WWW, 443/tcp - https, 110,443,25,587 - e-mail 873/tcp - rsync (for sbopkg), да, политики по-умолчанию установлены в
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT

Т.е. без дополнительных правил разрешен только форвардинг.

(Reply to this) (Parent) (Thread)

редкий извращенец.

domain ip {
 table filter {
  chain INPUT {
   policy DROP;
   saddr (127.0.0.1/8) ACCEPT;
   proto icmp ACCEPT;
  }
  chain OUTPUT {
   # i'm paranoid idiot
   policy DROP;
   # DON'T be so paranoid idiot, really
   proto icmp ACCEPT;
   saddr (127.0.0.1/8 10.0.0.0/24) ACCEPT;
   proto (tcp) dport (80 8080 443 110 25 587 873) ACCEPT;
   proto (udp) dport 53 ACCEPT;
  }
  chain FORWARD {
   policy ACCEPT;
  }
 }
}

что-то в этом роде.

(Reply to this) (Parent) (Thread)

в аутпут daddr, конечно.

(Reply to this) (Parent)

Слава Ктулху. Зато на этом сервере ferm все-таки собрался.

(Reply to this) (Parent) (Thread)

э… ferm не надо собирать, это просто перловый скрипт.

(Reply to this) (Parent)

алсо, чего там приводить, если ferm умеет конвертировать из iptables в себя?

(Reply to this) (Parent) (Thread)

Дык вот, почему-то оно работало на старом сервере, на новом с той же конфигурацией не хочет. Т.е. форвардинг проходит (еще б он не проходил), а заходишь на сервер - инета с сервера нет, хоть тресни, я вообще хуево понимаю, чо за хрень творится. По идее-то, если б оно изначально не работало, то не работало бы и на том сервере, а там оно работало. На новом оно хуй заводится вообще. При этом работают SSH, VPN из внутренней сети, которые разрешены по образу и подобию, только для SSH, например, sport и dport местами поменяны (направление-то другое) и дописана подсеть.

(Reply to this) (Parent) (Thread)

Нашел косяк и поправил. Вместо ДНС получалась какая-то херня, прописал нормально, все полетело. Зря я на нетфильтр грешил.

(Reply to this) (Parent)