Apories firewall

[Antonios Christofides]

Alex Chontzopoulos wrote:
> Δεν είναι ακριβώς έτσι.. Αυτό που χρειάζεσαι ονομάζετε Statefull Filtering.
> 
> -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

OK, δεν έχω παράμετρο state (τουλάχιστον σύμφωνα με το man ipchains),
έχω όμως την παρόμοια παράμετρο --syn, και όντως έτσι οι κανόνες
απλοποιούνται πολύ και γίνονται

:input DENY
:forward ACCEPT
:output ACCEPT
-A input -s 127.0.0.0/8        -j ACCEPT
-A input -p icmp               -j ACCEPT
-A input -p udp                -j ACCEPT
-A input -p tcp --dport ssh    -j ACCEPT
-A input -p tcp ! --syn        -j ACCEPT

Δε μου λέτε και κάτι άλλο: αν έχω ftp server πρέπει (αφού εξαντλήσω
κάθε εναλλακτική κατάργησής του) να ανοίξω ολόκληρο το local port
range ε;

Βλέπω επίσης το manual να λέει κάτι για fragmented packets. Μήπως
πρέπει να επιτρέψω τα επιπλέον κομμάτια τους;
-A input -p tcp -f        -j ACCEPT
 
-- 
Antonios Christofides
+30-2661020814