Ну, как правило, в тех программах, где можно использовать динамически выбираемые порты, можно эту фичу отключить, потому что нужна она больше для корпоративных сетей, где админы лочат определённые порты.
А для дома эта плюшка как правило не особенно то и важна.

Насколько я знаю, dcc (DCC — это Direct Client-to-Client, протокол передачи файлов, используемый в IRC; к DCN и DC++ не имеет никакого отношения) при передаче просто выбирает случайны порт и юзает его. Никаких методов отключения такого поведения я не знаю.

Про BitTorrent я упомянул зря — уже давно юзаю фиксированный порт.

> имеет ли смысл домашнему пользователю
Имеет смысл поставить input policy = drop на всякий случай (а то всякие хрен-поймёшь-портмэпперы вечно за каким-то фигом слушают какие-то порты). Руководство, безусловно, это. Длинное и нудное, но полезное. Не поленитесь, полистайте.

> подымать у себя фаерволл
Вобщем-та, у iptables природа такова, что его не поднимают, он в ядре включается, т.е. в свежепоставленном дистрибутиве есть, хотите вы того или нет.

> Смущает в этом подходе то, что я не представляю, какие порты мне следует открывать.
Смотря какой сервис хотите открыть на внешку. Нужен bittorrent - лезем в википедию и из неё узнаём, что диапазон портов для этого протокола - 6881—6889. Их и открываем. И да, если лень лезть в википедию, можно грепать /etc/services :)

Да, я немного неправильно выразился — имелось в виду изменение дефолтных политик и создание правил.

А имеет ли смысл писать правила для OUTPUT? С моей точки зрения, я не представляю опасности для окружающих :)

Я, например, никогда не писал :)

Как я стал параноиком.
Стоял у меня Redhat (версию не помню) ... Была у меня установлена програмка fortune. Эта консольная радость выводит случайным образом куски, специальным образом подготовленного, текста при кажном запуске. И было это чудо прописано у меня в ~/.bashrc. Нашел я на просторах нета html с тучей анекдотов, переформатировал его в текстовик. который понимает fortune и вреня от времени читал таким образом анекдоты. И лежал этот текстовик годы, менялись оси ... Redhat, Suse, Gentoo ... И все эти годы я читал анекдоты... И черт дернул меня заглянуть в этот текстовик ...
На первой строке я обнаружил: hacked by pricol.
А басня такова ... вам с этим потом жить:)

Хм…
Пожалуй, построю-таки фаервольчик...

на сколько мне известно, в коробочной ubuntu торрент клиент transmission не будет раздавать ничего пока это не разрешить в фаерволе.
сам не проверял, просто забил, главное чтобы качать мог:)

Неделю назад соседи ставили 9.10 — transmission там качал и раздавал без вопросов.
Да и вообще, я так понимаю что отсутствие правил и ACCEPT по умолчанию — это стандартная политика относительно iptables.

1. как бы там ни было, но фаервол нужен на любой системе (будь то хоть вин, хоть лин, фри...) для "рядового" пользования обязательно!!! input полиси... иначе я даже и не представляю, как можно выставлять в сеть машинку. Для тех же торентов (я пользую трансмишен) можно\стоит фиксировать один порт и открывать его в фаерволе.
2. дроп - да, по-умолчанию.
3. потенциальную "опасность" несёт любой хост ;-) а аутпут правила - это на усмотрение пользователя, но обычно на "рядовых" системах не используется :-)

Проблема в том, что если я не представляю, как фаерволл конфигурировать — то толку от его присутствия не будет.

тогда для вас наилучшим решением будет установка, например, Firestarter - там в гиу вы легко сможете настроить для себя фаервол

Беглый взгляд на зависимости Firestarter'а отбил всякое желание им пользоваться.


У меня первостепенная цель — не настроить, а разобраться. Для этого нужно хорошее руководство. Для разогрева лучше всего годятся небольшие статьи, охватывающие всего лишь пару моментов, часто грешащие ошибками и неточностями в погоне за простотой. Потом, когда новичок уже заинтересован и сделал первые шаги, годятся статейки типа «более сложные примеры работы с programname». После прочтения сего труда человек начинает сам немного ориентироваться в предмете, ищет более целенаправленно, и постепенно приходит к всё тому же официальному мануалу, который ему советовали в начале. Только тогда он воспринимался как огромная книжка, содержащая кучу инфы, но не показывающая основы, а теперь это полезный справочник, раскрывающий аспекты работы уже знакомых механизмов.

Кроме того, читая вводную и advanced статью, человек выполняет некие практические действия, т.е. по ходу дела овладевает описываемой программой. В нашем случае это может быть выставление политик по умолчанию в DROP и написание неких базовых правил. В результате пользователь получает работающий фаерволл и знания, необходимые для его дальнейшего совершенствования.

…Н-да, заговорился :) О чём там я? Ах да — мне не нужен гуй со всем известной кнопкой (для тех кто не в курсе — это button «сделать мне пиздато»), мне нужна статейка о базовых концепциях с примерами, которые помогут «разогреться» и дадут начальные знания. Естественно, в одну статью это вряд ли уместится, поэтому придётся писать несколько. Но никто не осилит, наверное…

P.S. Если такой труд уже проделан — буду рад линку.

http://www.opennet.ru:8101/docs/RUS/iptables/

http://easylinux.ru/node/190

Вы очень много написали, не связанного с темой. В теме же чётко сказанного "рядовой пользователь"... кроме того, в gui - тоже не всё просто, ибо для построения фаервола всё-равно нужно понимание, что мы делаем.

И так, начнём:
1) Как правильно задавать вопросы (ru) - это руководство по составлению вопросов и топиков - очень полезно для формирования своих личных мыслей;
2) ближе к уточненной теме: WiKi: Firewall (en, но есть на русском) - для понимания, что такое фаервол и его возможностей (одна страничка даст гайд-лайнс для углубление в изучение темы);
3) ребята вон уже кинули несколько линков;
4) добавлю от себя: Quick HOWTO : Ch14 : Linux Firewalls Using iptables;
5) кроме того, у каждого *nix-комьюнити есть персональные маны и квик-хауто, которые заточены под конкретный дистр\платформу;
6) и в заключении, так же обязательно держать под рукой официальный man\howto, что бы в любой момент можно было обратиться к ним.

Всё вышесказанное прошу не воспринимать, как стёб... это путь обучения чему угодно... постепенно - от простого к сложному :-)

Smart Questions HowTo читал и пытаюсь его придерживаться. Именно поэтому мой пост обширнее простого «расскажите мне об iptables». За остальные ссылки спасибо (из них не читал только easylinux). Отдельное спасибо за упоминание вики — я почему-то не догадался погуглить конкретно дебиановский мануал :(

Как стёб не воспринимаю ни в коем случае, не волнуйтесь ;) Просто iptables я пытаюсь осилить уже не впервые, и всё никак :(

1. Не имеет смысла. Даже самые базовые функции фаерволла начинаются с ограничения доступа к сетевым службам компьютера. Если их нет, то и смысла закрывать какие-то порты нет.
2. Правильно, так надежнее, а порты можно знать по опыту, /etc/services или netstat -nlp.
3. Дома у меня вообще DROP только для FORWARD, ибо начу незнакомых, сильно урезаю им интернет.
Лучший док на опеннете и man iptables, другие понимания не дадут =)

О, а вот за netstat спасибо (причём больше за опции, чем за команду)! Я до сих пор делал netstat -a и потом мучался с тонной вывода :(

Неужели кто-то написал мои вопросы, которые так давно хотел прояснить. Спасибо!