URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3894
[ Назад ]

Исходное сообщение
"Запрет исходящих smtp на все, кроме местного релея"
Отправлено Alex345 , 22-Июл-08 16:00

Потребовалось запретить исходящие smtp-соединения на все серверы, кроме корпоративного почтовика.
Он по совместительству является шлюзом и расположен по адресу 192.168.1.1
В имеющиеся цепочки было внесено первым для 25 порта вот такое правило
-A INPUT -s 192.168.1.0/255.255.255.0 -d ! 192.168.1.1 -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable
Которое успешно не работает. Не могу понять, почему. Что я сделал не так?

Содержание

Запрет исходящих smtp на все, кроме местного релея,yurmax, 22:38 , 22-Июл-08
- Запрет исходящих smtp на все, кроме местного релея,Alex345, 08:55 , 23-Июл-08
Запрет исходящих smtp на все, кроме местного релея,Andrey Mitrofanov, 10:33 , 23-Июл-08
Запрет исходящих smtp на все, кроме местного релея,angra, 23:32 , 23-Июл-08

Сообщения в этом обсуждении

"Запрет исходящих smtp на все, кроме местного релея"
Отправлено yurmax , 22-Июл-08 22:38

>Потребовалось запретить исходящие smtp-соединения на все серверы, кроме корпоративного почтовика.
>Он по совместительству является шлюзом и расположен по адресу 192.168.1.1
>В имеющиеся цепочки было внесено первым для 25 порта вот такое правило
>
>
>-A INPUT -s 192.168.1.0/255.255.255.0 -d ! 192.168.1.1 -p tcp -m tcp --dport
>25 -j REJECT --reject-with icmp-port-unreachable
>
>Которое успешно не работает. Не могу понять, почему. Что я сделал не
>так?
iptables -t nat -A POSTROUTING -p tcp --dport 25 -j DROP ?

"Запрет исходящих smtp на все, кроме местного релея"
Отправлено Alex345 , 23-Июл-08 08:55

>>-A INPUT -s 192.168.1.0/255.255.255.0 -d ! 192.168.1.1 -p tcp -m tcp --dport
>>25 -j REJECT --reject-with icmp-port-unreachable
>>
>>Которое успешно не работает. Не могу понять, почему. Что я сделал не
>>так?
>
>iptables -t nat -A POSTROUTING -p tcp --dport 25 -j DROP ?
>
Судя по всему нет. -A PREROUTING.

"Запрет исходящих smtp на все, кроме местного релея"
Отправлено Andrey Mitrofanov , 23-Июл-08 10:33

>Потребовалось запретить исходящие smtp-соединения на все серверы, кроме корпоративного почтовика.
>Он по совместительству является шлюзом и расположен по адресу 192.168.1.1
>-s 192.168.1.0/255.255.255.0 -d ! 192.168.1.1 -p tcp -m tcp --dport
Предположим, что у объекта телепатии имется роутер-прокси, "пускающий" локальную сеть (интерфейс eth1 прокси, адреса 192.168.1.0/24) в Большой Плохой Интернет (интерфейс, ну, скажем, eth0 прокси, и реальный адрес 194.195.196.197) и стоит задача "спамеров давить!" = соединения про SMTP "наружу" не пускать...
Решим задачу с помощью генератора наборов правил iptables - firehol:
---8<---
version 5
USERS=192.168.1.0/24
PUBLIC_IP=194.195.196.197
snat to "$PUBLIC_IP" outface eth0 src "$USERS"
interface eth1 lan
server smtp accept
router 2inet outface eth0 inface eth1 src "$USERS"
server smtp reject
--->8---
Правила iptables, сгенерённые firehol из этого конфига -- показывать?...
>Которое успешно не работает. Не могу понять, почему. Что я сделал не так?
Сделать, чтоб работало -- более простая |-) задача, чем объяснить человеку, что он делает не так. "Я для себя эту задачу"... упорстил.
[Л]
- форум->Искать(firehol), форум->Искать("бесплатные образцы")

"Запрет исходящих smtp на все, кроме местного релея"
Отправлено angra , 23-Июл-08 23:32

>Что я сделал не так?
Выбрали не ту цепочку, вам нужна FORWARD