наткнулся на графическую утилиту для создания стартовых скриптов с конфигурацией iptables. Написана под KDE3, называется KMyFirewall
все вроде понятно, делает все без ошибок, глюков пока не заметил.
Причем тут же можно посмотреть в текстовом виде конфиг (при желании и руками потом править можно), запустить/остановить iptables.
Единственное, хотелось бы справочку к ней, или хотя бы описание портов (названия, номера, и т.п.), справка в ней, к сожалению, не работает.
вот за час с небольшим можно сказать освоил азы iptables (просто экспериментируя параметрами), да вобщем-то там все параметры и так интуитивно понятны. Вобщем, запретил весь исходящий трафик, разрешил весь входящий, и на исходящий добавил правила:
$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 80 -j ACCEPT
$IPT -t filter -A OUTPUT -p udp --match multiport --ports 53 -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 21 -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --destination-port ftp-data -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --source-port ftp-data -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 5190 -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 6667 -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 6881 -j ACCEPT
$IPT -t filter -A OUTPUT -p udp --match multiport --ports 3295 -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 3923,26999 -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 8001 -j ACCEPT
$IPT -t filter -A OUTPUT -p tcp --match multiport --ports 27015,27016,27017 -j ACCEPT
$IPT -t filter -A OUTPUT -p udp --match multiport --ports 27015,27016,27017 -j ACCEPT
т.е. разрешен исходящий трафик для www, ftp, dns, icq, irc, torrent, dc, cs1.6.
и вот вопросы:
1. почему при этом работает только подключение к фтп в активном режиме, а в пассивном - нет?
2. что тут может лишнего написал или вообще неправильно?
3. какие реально нужны порты исходящего трафика для работы cs1.6 (клиент), ftp (клиент)?
4. ftp-data - какой порт? а то без него авторизация проходит на фтп, а данные (даже листинг каталога) не может принять.