| SmiGes |
|
|
Темы:
167
Сообщения:
841
Участник с: 04 августа 2009
|
вот посоветовали добавитьiptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -P INPUT DROP iptables -P OUTPUT ACCEPT |
| alexxx |
|
|
Темы:
1
Сообщения:
149
Участник с: 29 октября 2006
|
Хы, может iptables -A INPUT -p ALL -i lo -j ACCEPT забыл? |
| h4tr3d |
|
|
Темы:
34
Сообщения:
2656
Участник с: 12 июля 2007
|
Alex, не нужно, пусть лучше поймет что он там впиндюрил, для чего это нужно, а так же для чего в системе есть интерфейс lo и адрес 127.0.0.1. Подсказка: ff любит локальные сетевые подключения.
systemd должен умереть.
|
| SmiGes |
|
|
Темы:
167
Сообщения:
841
Участник с: 04 августа 2009
|
h4tr3dзнаю знаю, но что-то не догодался что фф локальную петлю юзает, действительно теперь после этого правила быстродействие вернулось к фф |
| h4tr3d |
|
|
Темы:
34
Сообщения:
2656
Участник с: 12 июля 2007
|
вообще ограничивать loop-back это очень дурная затея. хотя да, на случай если хост сам себя за досить решит, то доооо…
systemd должен умереть.
|
| bobart |
|
|
Темы:
38
Сообщения:
2537
Участник с: 28 ноября 2009
|
Две копейки в кассу: мне, не смыслящему в iptables, довелось настроить эту страшную штуку, воспользовавшись статьёй Simple stateful firewall, понимаете, к чему я? После чего товарищ немного помог (по джабберу), а именно, запретить пинговать IP - мелкая шлифовка, так сказать. Так вот, там, в вики, чёрным по белому: Цепочка interfaces Мы будем использовать цепочку interfaces для всего трафика из надежных сетевых интерфейсов. Первое необходимое правило: # iptables -A interfaces -i lo -j ACCEPT Это правило принимает весь трафик с интерфейса loopback, который необходим для нормальной работы многих приложений. |
| SmiGes |
|
|
Темы:
167
Сообщения:
841
Участник с: 04 августа 2009
|
помогло |
| SmiGes |
|
|
Темы:
167
Сообщения:
841
Участник с: 04 августа 2009
|
терь с новыми правилами таже историяsmiges@desktop:~$ sudo iptables -nvL --line-numbers Пароль: Chain INPUT (policy DROP 605 packets, 56755 bytes) num pkts bytes target prot opt in out source destination 1 1282 411K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED 2 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 21,22,139 3 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:40112 4 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:40112 5 620 57515 interfaces all -- * * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 ACCEPT all -- * * 192.168.11.145 192.168.11.254 ctstate NEW 2 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED Chain OUTPUT (policy ACCEPT 1022 packets, 132K bytes) num pkts bytes target prot opt in out source destination Chain interfaces (1 references) num pkts bytes target prot opt in out source destination 1 15 760 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 smiges@desktop:~$ |