URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5141
[ Назад ]
Исходное сообщение
"Запретить доступ к SMTP серверам"
Отправлено voffkamc , 27-Мрт-13 17:57 
Есть сеть 192.168.6.*/24
шлюз на 192.168.6.101
почтовый сервер на 192.168.6.103 (т.к. белого ip укртелеком не дает то отправляю почту через relayhost)
Надо запретить пользователям отправлять почту через любой сервер кроме 192.168.6.103.
Помогите пож. написать такое правило в iptables на шлюзе.
Содержание
Сообщения в этом обсуждении
"Запретить доступ к SMTP серверам"
Отправлено КуКу , 27-Мрт-13 19:15 
> Есть сеть 192.168.6.*/24
> шлюз на 192.168.6.101
> почтовый сервер на 192.168.6.103 (т.к. белого ip укртелеком не дает то отправляю
> почту через relayhost)
> Надо запретить пользователям отправлять почту через любой сервер кроме 192.168.6.103.
> Помогите пож. написать такое правило в iptables на шлюзе.

синтаксис точно не помню, но чтото вроде этото

iptables -I INPUT -s 192.168.6.103 --dport 25 -j ACCEPT
iptables -I INPUT --dport 25 -j REJECT

"Запретить доступ к SMTP серверам"
Отправлено PavelR , 27-Мрт-13 19:17 
>> Есть сеть 192.168.6.*/24
>> шлюз на 192.168.6.101
>> почтовый сервер на 192.168.6.103 (т.к. белого ip укртелеком не дает то отправляю
>> почту через relayhost)
>> Надо запретить пользователям отправлять почту через любой сервер кроме 192.168.6.103.
>> Помогите пож. написать такое правило в iptables на шлюзе.
> синтаксис точно не помню, но чтото вроде этото
> iptables -I INPUT -s 192.168.6.103 --dport 25 -j ACCEPT
> iptables -I INPUT --dport 25 -j REJECT

iptables -I FORWARD -d 192.168.6.103 -p tcp --dport 25 -j ACCEPT
iptables -I FORWARD -p tcp --dport 25 -j REJECT

"Запретить доступ к SMTP серверам"
Отправлено КуКу , 27-Мрт-13 19:33 
> iptables -I FORWARD -d 192.168.6.103 -p tcp --dport 25 -j ACCEPT
> iptables -I FORWARD -p tcp --dport 25 -j REJECT

давно я не работал с iptables :) вот почему и хотелось бы спросить: почему бы сразу на входе не резать пакеты, а в  цепочке форвард?

"Запретить доступ к SMTP серверам"
Отправлено Andrey Mitrofanov , 27-Мрт-13 20:22 
>я не работал с iptables
>хотелось бы спросить: почему бы сразу на входе не

Потому что никакого "сразу" или "сначала, потом" нет. Есть http://www.opennet.me/docs/RUS/iptables/#TRAVERSINGOFTABLES "или-или".

"Запретить доступ к SMTP серверам"
Отправлено Дядя_Федор , 27-Мрт-13 21:51 
Поучмничаю. :)
iptables -N mail_chain
iptables -I FORWARD -p tcp --dport 25 -j mail_chain
iptables -I mail_chain -j DROP (или REJECT)
iptables -I mail_chain -s 192.168.8.103 -j ACCEPT
"Запретить доступ к SMTP серверам"
Отправлено Дядя_Федор , 27-Мрт-13 21:53 
> iptables -I mail_chain -s 192.168.8.103 -j ACCEPT

Прошу прощения. -d конечно.


"Запретить доступ к SMTP серверам"
Отправлено Дядя_Федор , 27-Мрт-13 21:55 
>  Прошу прощения. -d конечно.

Ну и, кстати, подумалось. А с хрена ли это правило должно работать на ШЛЮЗЕ??? Трафик внутри всей /24 сетки ходит напрямую. Так что достаточно просто рубить все соединения на 25 порт ВНАРУЖУ.


"Запретить доступ к SMTP серверам"
Отправлено PavelR , 28-Мрт-13 07:13 
>>  Прошу прощения. -d конечно.
>  Ну и, кстати, подумалось. А с хрена ли это правило должно
> работать на ШЛЮЗЕ??? Трафик внутри всей /24 сетки ходит напрямую. Так
> что достаточно просто рубить все соединения на 25 порт ВНАРУЖУ.

а это как? ( можно и  в терминах iptables)

"Запретить доступ к SMTP серверам"
Отправлено Дядя_Федор , 28-Мрт-13 08:38 
> а это как? ( можно и  в терминах iptables)

"В терминах iptables" - это так, господин лентяй.
iptables -I FORWARD -p tcp --dport 25 -j DROP
Остальное - это не "термины iptables", а знание основ маршрутизации в сети, которой Вам по недоразумению дали порулить.


"Запретить доступ к SMTP серверам"
Отправлено PavelR , 28-Мрт-13 12:37 
>> а это как? ( можно и  в терминах iptables)
>  "В терминах iptables" - это так, господин лентяй.
> iptables -I FORWARD -p tcp --dport 25 -j DROP
> Остальное - это не "термины iptables", а знание основ маршрутизации в сети,
> которой Вам по недоразумению дали порулить.

А не пошел бы ты недоразумение-Федор на МПХ со своими упреками и укорами?
Если не по глазам, то посмотри на моё сообщение #2  www.opennet.ru/openforum/vsluhforumID10/5141.html#2

в котором написано ровно та же команда

iptables -I FORWARD -p tcp --dport 25 -j DROP


хотя если говорить что "рубить все соединения на 25 порт ВНАРУЖУ", то нужно эту самую наружу указать примерно так:

iptables -I FORWARD -p tcp --dport 25 -j DROP -o eth0

где eth0 это наружный интерфейс


"Запретить доступ к SMTP серверам"
Отправлено Дядя_Федор , 28-Мрт-13 14:31 
> А не пошел бы ты недоразумение-Федор на МПХ со своими упреками и
> укорами?
> Если не по глазам, то посмотри на моё сообщение #2  www.opennet.ru/openforum/vsluhforumID10/5141.html#2

Пожалуй, пойду. Неправильно вопрос услышал. Точнее - не от того. В общем  - забей.

"Запретить доступ к SMTP серверам"
Отправлено PavelR , 28-Мрт-13 20:27 
>> А не пошел бы ты недоразумение-Федор на МПХ со своими упреками и
>> укорами?
>> Если не по глазам, то посмотри на моё сообщение #2  www.opennet.ru/openforum/vsluhforumID10/5141.html#2
>  Пожалуй, пойду. Неправильно вопрос услышал. Точнее - не от того. В
> общем  - забей.

лады, забил. идти никуда не нужно :)

"Запретить доступ к SMTP серверам"
Отправлено slepnoga , 28-Мрт-13 20:36 
>>> а это как? ( можно и  в терминах iptables)
>>  "В терминах iptables" - это так, господин лентяй.
>> iptables -I FORWARD -p tcp --dport 25 -j DROP
>> Остальное - это не "термины iptables", а знание основ маршрутизации в сети,
>> которой Вам по недоразумению дали порулить.
> А не пошел бы ты недоразумение-Федор на МПХ со своими упреками и
> укорами?
> Если не по глазам, то посмотри на моё сообщение #2  www.opennet.ru/openforum/vsluhforumID10/5141.html#2

вообще то сложнее, но мысль верная


http://upload.wikimedia.org/wikipedia/commons/3/37/Netfilter...

"Запретить доступ к SMTP серверам"
Отправлено PavelR , 29-Мрт-13 17:51 
>>>> а это как? ( можно и  в терминах iptables)
>>>  "В терминах iptables" - это так, господин лентяй.
>>> iptables -I FORWARD -p tcp --dport 25 -j DROP
>>> Остальное - это не "термины iptables", а знание основ маршрутизации в сети,
>>> которой Вам по недоразумению дали порулить.
>> А не пошел бы ты недоразумение-Федор на МПХ со своими упреками и
>> укорами?
>> Если не по глазам, то посмотри на моё сообщение #2  www.opennet.ru/openforum/vsluhforumID10/5141.html#2
> вообще то сложнее, но мысль верная
> http://upload.wikimedia.org/wikipedia/commons/3/37/Netfilter...

Вот ты делаешь DNAT на транзитном маршрутизаторе (пришедший на внешний интерфейс пакет д-натится в локальную сеть). Ответный пакет от хоста в локальной сети придет на маршрутизатор, где его обратно "разнатят". Указан ли на этой схеме момент, когда это произойдет и если да, то в каком месте ?

"Запретить доступ к SMTP серверам"
Отправлено PavelR , 28-Мрт-13 07:12 
> Поучмничаю. :)
> iptables -N mail_chain
> iptables -I FORWARD -p tcp --dport 25 -j mail_chain
> iptables -I mail_chain -j DROP (или REJECT)
> iptables -I mail_chain -s 192.168.8.103 -j ACCEPT

вы бы еще разжевали публике, зачем делать именно так :-) //не, ну я то знаю, в т.ч. и про ipset :-)))))

"Запретить доступ к SMTP серверам"
Отправлено Дядя_Федор , 28-Мрт-13 08:41 
> вы бы еще разжевали публике, зачем делать именно так :-) //не, ну
> я то знаю, в т.ч. и про ipset :-)))))

Я же говорю - "поумничаю". :) Просто вынес обработку исходящей почты в отдельную цепочку. "Понты", короче. Смысл-то ведь тот же. Хотя, как я сказал выше - разрешающее правило на ШЛЮЗЕ не имеет никакого смысла.


"Запретить доступ к SMTP серверам"
Отправлено Дядя_Федор , 28-Мрт-13 08:50 
Хотя да - туплю. Все верно. Самому почтовику (192.168.6.103) почту-то отправлять надо и она как раз таки пойдет через шлюз. И попадет в цепочку форвард до того, как отнатится внаружу. Так что правила приведенные выше (мной и коллегами) - были верными.