/sbin/iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP
jesli wytlumaczysz, co to robi, to moze zauwazysz, ze
jak sendmail nawiazuje polaczenie to ustawia SYN.
jak zdalny host odbiera to ustawia SYN,ACK
i to jest nadal -m state --state NEW
a Ty to dropujesz
Wysyłanie pakietów, to także odbiór ich potwierdzeń. Najprościej sprawę załatwisz zmieniając:
/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
na
Kod:
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT"
Tu sie zgadzam - pakiety spokrewnione jak najbardziej
/sbin/iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP
jesli wytlumaczysz, co to robi, to moze zauwazysz, ze
jak sendmail nawiazuje polaczenie to ustawia SYN.
jak zdalny host odbiera to ustawia SYN,ACK
i to jest nadal -m state --state NEW
a Ty to dropujesz
Gdyby tak było to i na ssh tez nie można było by się dostać (ssh tez działa na tcp też ustala SYN, ACK - a jednak ssh działa ) nawiązuje połączenie nie mając żadnego problemu
/sbin/iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP
jesli wytlumaczysz, co to robi, to moze zauwazysz, ze
jak sendmail nawiazuje polaczenie to ustawia SYN.
jak zdalny host odbiera to ustawia SYN,ACK
i to jest nadal -m state --state NEW
a Ty to dropujesz
Gdyby tak było to i na ssh tez nie można było by się dostać (ssh tez działa na tcp też ustala SYN, ACK - a jednak ssh działa ) nawiązuje połączenie nie mając żadnego problemu
zasmuce Cie:)
na ssh sie wbijales, bo serwer dostawal czyste SYN bez ustawionego ACK.
taka parka szla na outpucie
podejrzewam tez, ze z tym wysylaniem maili to chodzilo Ci o klienta, ktory laczyl sie po petli do sendmaila, nie o samego sendmaila.
do tego dodaj sobie powyzszy wpis, ktory wedlug Ciebie nie stanowi problemu i sprobuj lynxem pobrac jakas strone
Ostatnio zmieniony 2009-10-20, 18:35 przez xil, łącznie zmieniany 1 raz.