Потребовалось запретить исходящие smtp-соединения на все серверы, кроме корпоративного почтовика.
Он по совместительству является шлюзом и расположен по адресу 192.168.1.1
В имеющиеся цепочки было внесено первым для 25 порта вот такое правило-A INPUT -s 192.168.1.0/255.255.255.0 -d ! 192.168.1.1 -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable
Которое успешно не работает. Не могу понять, почему. Что я сделал не так?
>Потребовалось запретить исходящие smtp-соединения на все серверы, кроме корпоративного почтовика.
>Он по совместительству является шлюзом и расположен по адресу 192.168.1.1
>В имеющиеся цепочки было внесено первым для 25 порта вот такое правило
>
>
>-A INPUT -s 192.168.1.0/255.255.255.0 -d ! 192.168.1.1 -p tcp -m tcp --dport
>25 -j REJECT --reject-with icmp-port-unreachable
>
>Которое успешно не работает. Не могу понять, почему. Что я сделал не
>так?iptables -t nat -A POSTROUTING -p tcp --dport 25 -j DROP ?
>>-A INPUT -s 192.168.1.0/255.255.255.0 -d ! 192.168.1.1 -p tcp -m tcp --dport
>>25 -j REJECT --reject-with icmp-port-unreachable
>>
>>Которое успешно не работает. Не могу понять, почему. Что я сделал не
>>так?
>
>iptables -t nat -A POSTROUTING -p tcp --dport 25 -j DROP ?
>Судя по всему нет. -A PREROUTING.
>Потребовалось запретить исходящие smtp-соединения на все серверы, кроме корпоративного почтовика.
>Он по совместительству является шлюзом и расположен по адресу 192.168.1.1
>-s 192.168.1.0/255.255.255.0 -d ! 192.168.1.1 -p tcp -m tcp --dportПредположим, что у объекта телепатии имется роутер-прокси, "пускающий" локальную сеть (интерфейс eth1 прокси, адреса 192.168.1.0/24) в Большой Плохой Интернет (интерфейс, ну, скажем, eth0 прокси, и реальный адрес 194.195.196.197) и стоит задача "спамеров давить!" = соединения про SMTP "наружу" не пускать...
Решим задачу с помощью генератора наборов правил iptables - firehol:
---8<---
version 5USERS=192.168.1.0/24
PUBLIC_IP=194.195.196.197snat to "$PUBLIC_IP" outface eth0 src "$USERS"
interface eth1 lan
server smtp acceptrouter 2inet outface eth0 inface eth1 src "$USERS"
server smtp reject
--->8---Правила iptables, сгенерённые firehol из этого конфига -- показывать?...
>Которое успешно не работает. Не могу понять, почему. Что я сделал не так?
Сделать, чтоб работало -- более простая |-) задача, чем объяснить человеку, что он делает не так. "Я для себя эту задачу"... упорстил.
[Л]
- форум->Искать(firehol), форум->Искать("бесплатные образцы")
>Что я сделал не так?Выбрали не ту цепочку, вам нужна FORWARD