proftpd incoming kerdes

 ( Anonymous | 2003. szeptember 8., hétfő - 9:05 )

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Hy!

Rájöttem mi volt a probléma.
Ki kellett nyit neki egy pár portot nem tudom mennyire alap de nekem a 32780-32790-ig kellett kinyitnom, hogy kitudjam listázni az ftp könyvtárat.

Köszönöm a segítségeket. :lol:

Ha jól látom, az INETIN lánc végén levő drop eldobja a csomagokat, mielőtt ráfuthatna a TCP port leválogatására.

[quote:d6f312fe47="begin"]Ha jól látom, az INETIN lánc végén levő drop eldobja a csomagokat, mielőtt ráfuthatna a TCP port leválogatására.[/quote:d6f312fe47]

Hy!

Az csak a fragmenteket dobja el...
Egyépként meg lehet kapcsolódni a géphez megy rajta http,ssh, és irccliensek.. ők tudnak kapcsolódni.

Itt szerintem más probléma lesz, a jogokkal lesznek gondok..
Vagy tényleg valami bug vagy ütközik valamilyen csomaggal, bár én még olyat nem éltem meg.. 8O

hy!

Rájöttem mi volt a probléma.

Van egy ilyen sor a configomba, hogy

iptables -A INPUT [b:66d1fe3136] -i ppp0 [/b:66d1fe3136] -m state --state ESTABLISHED,RELATED -j ACCEPT

Ugyan nem tudom mért nem tetszett neki a -i ppp0 mint input interface beállítása, mert elvileg ezej jön megy a net. :roll:

De hogy ne legyen teljes az örömöm most az sftp nem akar működni ha windows alol a winscp-vel akarok kapcsolódni (ami eddig ment) kiírja hogy munkamenet kapcsolódás folyamatban.. és 15 mp mulva megszakad a kapcsolat mondván a távoli gép nem válaszolt...
A linuxos gépen sajátmagára sem tudok kapcsolódni szal most ez van :oops:

Hy!

Azóta szerkesztettem egy újabb iptables szriptet és rájöttem arra, hogy ha DROP a default az INPUT láncon akkor nem tud listázni az ftpkliens, de ha nincs rajta akkor minín szépen megy...

Abban kérném a segítségeteket, hogy meg tudjátok mondani mit kellene még engedélyeznem, hogy működjön ez az egész vajon mit hiányolhat???

Chain INPUT (policy DROP 3 packets, 156 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:33
15 706 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
50 3846 ACCEPT all -- ppp0 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
17 846 DROP all -- ppp0 * 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 OK_ICMP icmp -- ppp0 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3333
0 0 ACCEPT udp -- * * 88.*.*.* 0.0.0.0/0 udp spt:53
0 0 ACCEPT udp -- * * 88.*.*.* 0.0.0.0/0 udp spt:53
136 11992 ACCEPT tcp -- * * 192.168.1.3 192.168.1.1 tcp dpt:33
7 280 ACCEPT tcp -- * * 192.168.1.3 192.168.1.1 tcp dpt:6535

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
311 197K ACCEPT all -- ppp0 eth0 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
401 79146 ACCEPT all -- eth0 ppp0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- ppp0 * 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 1/sec burst 5
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 10/sec burst 5
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 10/sec burst 5

Chain OUTPUT (policy ACCEPT 219 packets, 18567 bytes)
pkts bytes target prot opt in out source destination

Chain OK_ICMP (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11

Nagyon megköszönném ha végre sikerülne megoldani a problémát, bár lehet egyszerübb lenne ha ACCEPT-re állítanám az inputot és aztán szépen mindent tiltok, de nem hinném hogy csak ez az egy megoldás van.....vagy tévedek??!? 8O

[quote:cdcd6d3082="m4ki"]Hy!

Azóta szerkesztettem egy újabb iptables szriptet és rájöttem arra, hogy ha DROP a default az INPUT láncon akkor nem tud listázni az ftpkliens, de ha nincs rajta akkor minín szépen megy...

Abban kérném a segítségeteket, hogy meg tudjátok mondani mit kellene még engedélyeznem, hogy működjön ez az egész vajon mit hiányolhat???

Chain INPUT (policy DROP 3 packets, 156 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:33
15 706 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
50 3846 ACCEPT all -- ppp0 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
17 846 DROP all -- ppp0 * 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 OK_ICMP icmp -- ppp0 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3333
0 0 ACCEPT udp -- * * 88.*.*.* 0.0.0.0/0 udp spt:53
0 0 ACCEPT udp -- * * 88.*.*.* 0.0.0.0/0 udp spt:53
136 11992 ACCEPT tcp -- * * 192.168.1.3 192.168.1.1 tcp dpt:33
7 280 ACCEPT tcp -- * * 192.168.1.3 192.168.1.1 tcp dpt:6535

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
311 197K ACCEPT all -- ppp0 eth0 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
401 79146 ACCEPT all -- eth0 ppp0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- ppp0 * 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 1/sec burst 5
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 10/sec burst 5
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 10/sec burst 5

Chain OUTPUT (policy ACCEPT 219 packets, 18567 bytes)
pkts bytes target prot opt in out source destination

Chain OK_ICMP (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11

Nagyon megköszönném ha végre sikerülne megoldani a problémát, bár lehet egyszerübb lenne ha ACCEPT-re állítanám az inputot és aztán szépen mindent tiltok, de nem hinném hogy csak ez az egy megoldás van.....vagy tévedek??!? 8O[/quote:cdcd6d3082]

20as port (ftp-data) engedelyezese?

Hy!

Próbálkoztam már azzal is, de Lvileg nem kell a 20-as mivel a 21-es porton mindent le tud zavarni.
De megnéztem ezzel a configgal is, mivel az ördög soha sem alszik, de nem jó így sem..... :?

HY!

Nekem az lenne a problémám, hogy ha fel akar csatlakozni a juzer, akkor 5 percig LIST-áz maj d leáll és semit nem lehet csinálni az ftp-könyvtárban. Nem látszanak a fileok nem lehet se másolni se feltölteni.

Tudja valaki hogy mi lehet a próbléma...
Már hallottam hogy nem vafgyok egyedül ezzel de hátha van rá valakinek magyarázata.
Talág Bug?

[quote:9e8b3938cf="m4ki"]HY!

Nekem az lenne a problémám, hogy ha fel akar csatlakozni a juzer, akkor 5 percig LIST-áz maj d leáll és semit nem lehet csinálni az ftp-könyvtárban. Nem látszanak a fileok nem lehet se másolni se feltölteni.

Tudja valaki hogy mi lehet a próbléma...
Már hallottam hogy nem vafgyok egyedül ezzel de hátha van rá valakinek magyarázata.
Talág Bug?[/quote:9e8b3938cf]
Tipokusan vmi. resolvolási problémának tűnik, vagy mintha vhol útközben DROP-olnának vmit netfilter/iptables-el.

[quote:b4175ea496="m4ki"]HY!

Nekem az lenne a problémám, hogy ha fel akar csatlakozni a juzer, akkor 5 percig LIST-áz maj d leáll és semit nem lehet csinálni az ftp-könyvtárban. Nem látszanak a fileok nem lehet se másolni se feltölteni.

Tudja valaki hogy mi lehet a próbléma...
Már hallottam hogy nem vafgyok egyedül ezzel de hátha van rá valakinek magyarázata.
Talág Bug?[/quote:b4175ea496]

Nem lehet hogy a kliens router mögül akar felmászni és akkor PASSIVE üzemmódot kellene nekik megadni. Próbltad ezzel is?

Laci

Hello, a proftd.conf -om a kovetkezo:

ServerName "Debian"
ServerType standalone
DeferWelcome off

MultilineRFC2228 on
DefaultServer on
ShowSymlinks on
AllowOverwrite on

TimeoutNoTransfer 600
TimeoutStalled 600
TimeoutIdle 1200

DisplayLogin welcome.msg
DisplayFirstChdir .message
ListOptions "-l"

DenyFilter \*.*/

Port 21

MaxInstances 5

User nobody
Group nogroup

<Directory /*>
# Umask 022 is a good standard umask to prevent new files and dirs
# (second parm) from being group and world writable.
Umask 022 022

AllowOverwrite on
</Directory>

<Anonymous /home/upload>
User ftp
Group nogroup
# We want clients to be able to login with "anonymous" as well as "ftp"
UserAlias anonymous ftp

RequireValidShell off
AnonRequirePassword off
# Limit the maximum number of anonymous logins
MaxClients 10

# We want 'welcome.msg' displayed at login, and '.message' displayed
# in each newly chdired directory.
DisplayLogin welcome.msg
DisplayFirstChdir .message

# Limit WRITE everywhere in the anonymous chroot
<Directory *>
<Limit WRITE>
DenyAll
</Limit>
</Directory>

#Uncomment this if you're brave.
<Directory incoming>
# Umask 022 is a good standard umask to prevent new files and dirs
# (second parm) from being group and world writable.
Umask 022 022

<Limit READ>
AllowAll
</Limit>
<Limit STOR>
AllowAll
</Limit>
<Limit WRITE>
DenyAll
</Limit>
</Directory>

</Anonymous>

ls -l
drwxr-xr-x 2 ftp nogroup 4096 Sep 8 09:04 incoming

kerdes miert nem tudok a incoming konyvtarban konyvtarat letrehozni ftpvel, egy file-t fel tudok tolteni !

kosz

Hy!

A Passive modot már próbáltam, de az iptablest még nem néztem át...
Leht igazad van gyu..

hy!

Ja lemaradt, hogy én sem tudtam felcsatlakozni rá nekem meg nics routerem
van egy linuxos gép ez megosztja a netem meg van egy xp.

[quote:0f683a6073="m4ki"]hy!

Ja lemaradt, hogy én sem tudtam felcsatlakozni rá nekem meg nics routerem
van egy linuxos gép ez megosztja a netem meg van egy xp.[/quote:0f683a6073]

Ha egy linuxos géppel osztod meg a netet, akkor azt veheted routernek :)
Próbáld meg PASSIVE üzemmódban pl. a total commanderrel.

Laci

Hy!

:cry:

Be copyzom az iptables configomat ha tud rá mondani valaki vamit hogy miért nem működik az ftp mért nem lehet listázni, azt nagyon megköszönném. Egyszer működik egyszer nem.

#!/bin/bash
# Toltsuk be!
echo "Az iptables tuzfalat toltom:"
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_conntrack_irc
modprobe ip_nat_irc
#Egyebb vedelmek
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
echo 1 > /proc/sys/net/ipv4/conf/all/secure_redirects
echo "-------------------------------------------------"
echo 1800 2> /dev/null > /proc/sys/net/ipv4/tcp_keepalive_time
echo 30 2> /dev/null > /proc/sys/net/ipv4/tcp_fin_timeout
echo 0 2> /dev/null > /proc/sys/net/ipv4/tcp_window_scaling
echo 0 2> /dev/null > /proc/sys/net/ipv4/tcp_sack
echo "-------------------------------------------------"
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "IP Forwarding engedelyezve..."
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo "IP SynCookies engedelyezve..."
echo
echo "-----------------------------------"
echo "Flush"
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t filter -F INPUT
iptables -t filter -F OUTPUT
iptables -t filter -F FORWARD
iptables -t nat -F POSTROUTING
iptables -t nat -F OUTPUT
iptables -t nat -F PREROUTING
iptables -t mangle -F PREROUTING
iptables -t mangle -F OUTPUT
echo "-----------------------------------"
echo
echo "Alapertelmezett lanc beallitasok"
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP
iptables -N OK_ICMP
iptables -F OK_ICMP
echo
echo "-----------------------------------"
echo
echo "Alapveto beallitasok kulonben NEM megy ki a szerverrol a net"
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
iptables -A FORWARD -i ppp0 -m state --state NEW,INVALID -j DROP
#iptables -A FORWARD -j LOG
iptables -t nat -A POSTROUTING -o ppp0 -p tcp --tcp-flags SYN,RST SYN \
-m tcpmss --mss 1453: -j TCPMSS --set-mss 1452 -v
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o ppp0 -p tcp --tcp-flags SYN,RST SYN \
#-m tcpmss --mss 1453: -j TCPMSS --set-mss 1452 -v
iptables -t filter -A INPUT -d localhost -j ACCEPT
iptables -t filter -A OUTPUT -j ACCEPT
echo
echo "------------------------------------"
echo
echo " Syn-flood, PING, Portscan elleni vdelem"
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
echo "------"
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
echo "------"
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
echo
echo "------------------------------------"
echo
# --------------------------------------------------------------------------
echo "Reply (pong)"
iptables -A OK_ICMP -p icmp --icmp-type echo-reply -j ACCEPT
echo "Destination Unreachable"
iptables -A OK_ICMP -p icmp --icmp-type destination-unreachable -j ACCEPT
echo "Request (ping)"
echo " Accept Pings "
iptables -A OK_ICMP -p icmp --icmp-type echo-request -j ACCEPT
echo "TTL Exceeded (traceroute)"
iptables -A OK_ICMP -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp -j OK_ICMP
# ---------------------------------------------------------------------------
echo
echo "------------------------------------"
echo
echo "Johet az ftp a net felol"
iptables -t filter -I INPUT -i ppp0 -p tcp -m tcp --dport 1021 -j ACCEPT
iptables -t filter -A INPUT -p tcp -m tcp --dport 1021 -j ACCEPT
echo "Johet az ssh is "
iptables -I INPUT -p tcp -m tcp --dport 33 -j ACCEPT
iptables -I INPUT -s 192.168.1.3 -d 192.168.1.3 -p tcp --dport 33 -j ACCEPT

iptables -t filter -I INPUT -p tcp -m tcp --dport 1024 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 3333 -j ACCEPT
iptables -t filter -I INPUT -p tcp --dport 3333 -j ACCEPT
echo "udp"
iptables -t filter -A INPUT -s 62.*.*.* -p udp --sport 53 -j ACCEPT
iptables -t filter -A INPUT -s 62.*.*.* -p udp --sport 53 -j ACCEPT
iptables -t filter -I INPUT -s 62.*.*.* -p udp --sport 53 -j ACCEPT
iptables -t filter -I INPUT -s 62.*.*.* -p udp --sport 53 -j ACCEPT
echo "--------------------------------------------"
#iptables -A INPUT -s 192.168.1.3 -d 192.168.1.1 -p tcp --dport 33 -j ACCEPT
iptables -I INPUT -s 192.168.1.3 -d 192.168.1.1 -p tcp --dport 6535 -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state NEW,INVALID -j DROP

senki ?

[code:1:6d762c1909] # Limit WRITE everywhere in the anonymous chroot
<Directory *>
<Limit WRITE>
DenyAll
</Limit>
</Directory> [/code:1:6d762c1909]

ezt ki kene kommentezni? (aztan restart proftpd)

bovebb infoert nezd meg a doksit

Nem vagyok egy proftpd guru, de amit mondtál, az tökéletesen megfelel a config file-odban találhatókkal. Ha így állítod be, így fog viselkedni...

[quote:5ed24d242b] #Uncomment this if you're brave.
<Directory incoming>
[/quote:5ed24d242b]Gondolom erről a könyvtárról van szó[quote:5ed24d242b]# Umask 022 is a good standard umask to prevent new files and dirs
# (second parm) from being group and world writable.
Umask 022 022
[/quote:5ed24d242b]Tehát az első umask a file-oké, a második a könyvtáraké... A magyarázat szerint, a 022 umask kiváló védelem új file-ok és könyvtárak ELLEN!!![quote:5ed24d242b]
<Limit READ>
AllowAll
</Limit>
<Limit STOR>
AllowAll
</Limit>
<Limit WRITE>
DenyAll
[/quote:5ed24d242b]Szerény képzelőerőm azt mondja, ezzel is megtiltassz minden írást...[quote:5ed24d242b]</Limit>
</Directory>

</Anonymous>
[/quote:5ed24d242b]

Ahoz, hogy könyvtárat tudj létrehozni meg kell adni:
[quote:5ed24d242b]<Limit MKD XMKD>
AllowAll
</Limit>[/quote:5ed24d242b] Hiszen minden WRITE műveletet tiltottál!!!!

Zsiráf

U.i.: RTFM RTFM :twisted: :twisted: :twisted: :twisted: :twisted: :twisted: :twisted:

wow mondasz valamit ez tenyleg tipikus rtfm en voltam balek mert asszittem a stor az az is jelenti hogy dircetoty-t is stor-olhatsz de hat ez tiszta hulyeseg. :)

[quote:97a989e353="m4ki"]Hy!

A Passive modot már próbáltam, de az iptablest még nem néztem át...
Leht igazad van gyu..[/quote:97a989e353]

Már próbáltam......
Az iprables szabályokat nézem hátha ott van elásva az ördög, de ha van még 5let akkor szivesen fogadom.

Küld be az iptables -n -L és az iptables -n -L -t nat kimentét. Hát ha okosabbak leszünk. Esetleg cat /var/log/syslog | grep -i ftp?

Laci

Hy!

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3333
INETIN all -- 0.0.0.0/0 0.0.0.0/0
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x29 limit: avg 5/min burst 5 LOG flags 0 level 5 prefix `NMAP-XM'
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x29
ACCEPT tcp -- 192.168.1.3 192.168.1.1 tcp dpt:33
ACCEPT tcp -- 192.168.1.3 192.168.1.1 tcp dpt:6535
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 127.0.0.1 0.0.0.0/0
ACCEPT udp -- 127.0.0.1 0.0.0.0/0
DROP all -- 62.68.35.213 0.0.0.0/0

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 192.168.1.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 192.168.1.0/24

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
INETOUT all -- 0.0.0.0/0 0.0.0.0/0

Chain INETIN (1 references)
target prot opt source destination
syn-flood tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02
DROP icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 192.168.1.3 0.0.0.0/0 tcp dpt:113
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
LOG all -f 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `IPTABLES FRAGMENTS: '
DROP all -f 0.0.0.0/0 0.0.0.0/0

Chain INETOUT (1 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

Chain syn-flood (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec burst 4
DROP all -- 0.0.0.0/0 0.0.0.0/0[list:1234d8d566]

de ezzel a scriptel eddig ment szoval nem értem... :cry: [/list:u:1234d8d566]