2Tuxik: Tohle si nepojal uplne stastne IMO ... pokud confis firewall, tak si mozna mel vyjmenovat veci, ktery tam pobezej a proc, a udelat to na jenom miste vsechno ...
2Buki: Tak v tuhle chvili si ani neodesles/nedorucis mail. Protoze nemas povolenou tu zminovanou 25. A pak nejspis bude nasledovat nejakej ten klient, kterej by se prozmenu na 25 pripojovat vubec nemel, takze nejaka ta 587 nejspis. Mno a pak si ty maily taky budes chtit precist, takze pocitam imap 993 ... mno a nejakej ten webmail pripadne, takze 443.
Jinak tam chybi jeste jedna pomerne zasadni vec, a to povoleni loopbacku, bez toho taky spousta veci nebude fungovat vubec.
A na druhou stranu, ICMP si zaslouzi nejakej ten limit (specielne nektery typy).
Přijde mi logičtější povolovat věci až dle potřeby, jsou potom jasnější souvislosti. Věci na loopbacku budou povoleny taky jen potřebné, server nemá sám se sebou co kecat :) Co se týče ICMP, ano, stačilo by povolit request a reply. Jenomže když se do toho vnoříme pořádně, tak jen nastavení firewallu by bylo na samostatný seriál a nikdy nebudou spokojení všichni, protože každej má svoje postupy, svoje oblíbený pravidla a každej je má samozřejmě nejlepší :D Proto nechci zabíhat do nějakých extrémních podrobností. Ano, je co zlepšovat, v produkci by to bylo ještě úplně jinak, ale mělo by to být celkem dostatečný.
ICMP Echo rozhodně nestačí. Potřebuješ ještě přinejmenším ICMP destination unreachable, kvůli fragmentaci/MTU linky. Jinak se může stát, že si nepopovídáš s některými servery a klienty, kteří jsou za několika vnořenými tunely. (Třeba teredo nebo jiná forma IPv6 over IPv4). A zrovna na tohle se těžko ladí, protože to vypadá jako chyba druhé strany. Ostatním to přeci funguje.