Iptables

[Adi1981]

Witam. Skonfigurowałem sobie dzisiaj iptables domyślnie ustawiony na DROP wszystkich pakietów. Następnie dałem dostęp dla DNS i HTTP następującymi regułami:

#dns

-A INPUT -i eth0 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --sport 53 --dport 1024:65535 -j ACCEPT

#http

-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 80 -m state --state NEW -j ACCEPT

-A INPUT -p udp -m udp --sport 1024:65535 --dport 80 -j ACCEPT

#dns

-A OUTPUT -o eth0 -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 53 -j ACCEPT

#http

-A OUTPUT -p tcp -m tcp --dport 80 --sport 1024:65535 -j ACCEPT

-A OUTPUT -p udp -m udp --dport 80 --sport 1024:65535 -j ACCEPT

No i wszystko praktycznie ładnie śmiga. Niestety mam jakiś dziwny problem z jednym forum, mianowicie www.sportsboard.pl/Forum. Problem wygląda w ten sposób że przy uruchomionym firewallu część strony się ładuje, po czym następuje kilkumiutowa (!) przerwa w ładowaniu strony, po których to kilku minutach strona ładuje się już do końca. Analizowałem pakiety z ethereala przy włączonym i wyłączonym firewallu i nie ma w zasadzie żadnych różnic, przy włączonym firewallu strona ładuje się tak samo jak przy wyłączonym, wysłane są na koniec pakiety z odpowiednio ustawionymi flagami: FIN,ACK i ACK na koniec. I tu występuje problem: przy włączonym firewallu strona została niejako załadowana, ale wyświetla się dopiero po kilku minutach, natomiast bez firewalla wyświetla się od razu. Czy ktoś ma jakiekolwiek pomysły czemu się tak może dziać i jaką regułę jeszcze by wypadalo dodać? Bo moje pomysly się już chyba wyczerpały :/

 

EDIT:

problem rozwiązany, zapomniałem dać ACCEPT na INPUT/OUTPUT dla loopback

[Gość amdfanatyk]

ale po co jawnie akceptowac pakiety? do takich rzeczy jest modul state.