Здравствуйте!
Имею сервак на REDHAT 9
Необходимо организовать доставку почты на локальные компьютеры в сети. Нет времени завморачиваться на майлсервер. Можно ли открыть NAT'том 110 и 25 порты на определенные ip (MAC)? Если можно, то как? Рекомендуете ли вы так делать? Чем это мне может грозить. Не хотелось бы просто видеть ответы, что это брешь в безопасности в системе или большая дыра? Хотелось бы конкретики! Спасибо!
1 - поставить нат
2 - разрешить натиться 25 и 110 порту из внутренней сетки наружу и принимать ответные
3 - на input и forward по 100 порту с наружного интерфейса должно стоять reject, а не drop
>1 - поставить нат
>2 - разрешить натиться 25 и 110 порту из внутренней сетки наружу
>и принимать ответные
>3 - на input и forward по 100 порту с наружного интерфейса
>должно стоять reject, а не drop
Спасибо за ответ, но я все это знаю :) Просто мозгов не хватает как прописать эти правила!
>Спасибо за ответ, но я все это знаю :) Просто мозгов не
>хватает как прописать эти правила!
А я вот не знаю... не знаю, например, каким файрволом Вы пользуетесь - чистыми iptables или надстройками типа shorewall или чем другим... Ж8-)
P.S. Взведение своего почтовика со всеми прописями и забором почты - 25 мин. максимум.
>>Спасибо за ответ, но я все это знаю :) Просто мозгов не
>>хватает как прописать эти правила!
>А я вот не знаю... не знаю, например, каким файрволом Вы пользуетесь
>- чистыми iptables или надстройками типа shorewall или чем другим... Ж8-)
>
>P.S. Взведение своего почтовика со всеми прописями и забором почты - 25
>мин. максимум.iptables
У меня пока не хватает квалификации чтобы это сделать. Вот и хочу пока настроить NAT, а самому разобраться с почтовиком.
>У меня пока не хватает квалификации чтобы это сделать. Вот и хочу
>пока настроить NAT, а самому разобраться с почтовиком.
Вот кусок моего скрипта, который отвечает за это..
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT --in-interface $LOOPBACK_INTERFACE -j ACCEPT
iptables -A POSTROUTING -t nat --out-interface $EXTERNAL_INTERFACE -j SNAT --to-source $IPADDR
iptables -A INPUT --in-interface $EXTERNAL_INTERFACE --protocol tcp \
--destination $IPADDR --destination-port 110 -j REJECTНо вообще-то в этом скрипте еще мноооого чего нужно написать... См. Iptables Tutorial на этом сайте
Народ, не знаю что у вас за нат такой, что к нему еще и настройки почты прикручивать надо, у меня в iptables делается нат одной строкой правил iptables, и через него ходят все протоколы (http, pop, smtp, irc, icq, и даже CS и виндовый терминальный клиент) без каких либо дополнительных настроек.
политика безопасности, сэр