как в iptables разрешить доступ только к почте и запретить пользоваться инетом

• как в iptables разрешить доступ только к почте и запретить п...,Michael, 16:57 , 26-Мрт-03
  • как в iptables разрешить доступ только к почте и запретить п...,glat, 12:02 , 28-Мрт-03

>как в iptables разрешить доступ только к почте и запретить пользоваться инетом
>

доступ откуда и куда?
если от внутренних компов с внутренним адресом на почтовый сервак в инете, то можно написать что-то вроде:
iptables -I FORWARD 1 -p tcp -s 192.168.0.0/24 -i eth0 -o eth1 -d 195.х.х.х --dport 25 -j ACCEPT
iptables -I FORWARD 2 -p tcp -s 192.168.0.0/24 -i eth0 -o eth1 -d 195.х.х.х --dport 110 -j ACCEPT
#iptables -I FORWARD 3 -p udp -s 192.168.0.0/24 -i eth0 -o eth1 -d 195.х.х.х --dport 110 -j ACCEPT

iptables -t nat -I POSTROUTING 1 -p tcp -s 192.168.0.0/24 -o eth1 -d 195.х.х.х --dport 25 -j SNAT --to-source 213.z.z.z
iptables -t nat -I POSTROUTING 2 -p tcp -s 192.168.100.0/24 -o eth1 -d 195.х.х.х --dport 110 -j SNAT --to-source 213.z.z.z
#iptables -t nat -I POSTROUTING 3 -p udp -s 192.168.100.0/24 -o eth1 -d 195.х.х.х --dport 110 -j SNAT --to-source 213.z.z.z

где
192.168.0.0/24 - внутрення подсеть
eth0 смотрит внутрь, eth1 - наружу
195.х.х.х - почтовый сервак в инете
213.z.z.z - твой внешний ip-адрес
строки с # вначале - у меня закомментированы, работает и с ними, и без них. я не знаю, нужен ли реально почте udp или нет...

задача такая - есть комп адрес 192.168.0.10 ему инет не нужен, а нужна только почта
можно ли сделать так:

-A DenyHN -s 192.168.0.10/32 -j DROP

-I FORWARD 1 -p tcp -s 192.168.0.10/32 -i eth0 --dport 25 -j ACCEPT
-I FORWARD 2 -p tcp -s 192.168.0.10/32 -i eth0 --dport 110 -j ACCEPT