Форум сервиса вфосе.ру

наткнулся на графическую утилиту для создания стартовых скриптов с конфигурацией iptables. Написана под KDE3, называется KMyFirewall

все вроде понятно, делает все без ошибок, глюков пока не заметил.
Причем тут же можно посмотреть в текстовом виде конфиг (при желании и руками потом править можно), запустить/остановить iptables.
Единственное, хотелось бы справочку к ней, или хотя бы описание портов (названия, номера, и т.п.), справка в ней, к сожалению, не работает.



вот за час с небольшим можно сказать освоил азы iptables (просто экспериментируя параметрами), да вобщем-то там все параметры и так интуитивно понятны. Вобщем, запретил весь исходящий трафик, разрешил весь входящий, и на исходящий добавил правила:

$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 80 -j ACCEPT
$IPT -t filter -A OUTPUT -p udp --match multiport --ports 53 -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 21 -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --destination-port ftp-data -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --source-port ftp-data -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 5190 -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 6667 -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 6881 -j ACCEPT
$IPT -t filter -A OUTPUT -p udp --match multiport --ports 3295 -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 3923,26999 -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 8001 -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 27015,27016,27017 -j ACCEPT
$IPT -t filter -A OUTPUT -p udp --match multiport --ports 27015,27016,27017 -j ACCEPT

т.е. разрешен исходящий трафик для www, ftp, dns, icq, irc, torrent, dc, cs1.6.

и вот вопросы:
1. почему при этом работает только подключение к фтп в активном режиме, а в пассивном - нет?
2. что тут может лишнего написал или вообще неправильно?
3. какие реально нужны порты исходящего трафика для работы cs1.6 (клиент), ftp (клиент)?
4. ftp-data - какой порт? а то без него авторизация проходит на фтп, а данные (даже листинг каталога) не может принять.

все это заменяется 3-мя строчками

$IPT -t filter -A OUTPUT -p tcp --match multiport --dports 80,21,20,5190,6667,6881,3295,3923,26999,8001,27015,27016,27017 -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --source-port 20 -j ACCEPT
$IPT -t filter -A OUTPUT -p udp --match multiport --dports 53,27015,27016,27017 -j ACCEPT

а что значит --dports ?

$IPT -t filter -A OUTPUT -p tcp --source-port 20 -j ACCEPT
что делает эта строка? нипанятна.... или 20 - это тоже к фтп отношение имеет?

что она делает и зачем - тебе видней - ты писал
а насчет пассивного режима FTP тебе нужно диапазон портов открывать, какой? смотри настройки своего сервера ФТП там есть параметры которые говорят какие порты использовать, если лом - то открой все что больше 1024

блин.. КС1,6 что-то еще использует, кроме TCP/UDP 27015-27017
подключаюсь к серверу, и как только в самом начале после загрузки карты должна появиться заставка из motd - просто висит и ни на что не реагирует. В процессах появляется services.exe, explorer.exe. Я так понял, что пытается грузить html-содержимое, но порт 80 открыт, по какому оно еще может качать?
Вирусов вроде нету, только что проверил.
Если отключить iptables - все норм.

netstat -anp
религия не позволяет полдьзоваться?

в iptables можно просматривать текущие соединения в системе (команду не помню)

смори, открывай, закрывай, пробуй