URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5311
[ Назад ]

Исходное сообщение
"Запутолся с geoip+iptables"
Отправлено mplane , 02-Мрт-15 17:41

Всем добрый день!
Пожалуйста хотелось бы посоветоваться, как сделать правильно.
Есть IPTABLES + GeoIP.
Хочу запретить входящие от всех стран кроме скажем 2х RU,UA. Но в довесок разрешить почту от "всех стран". И вот в почте, то затык.
Вариант первый без почты...
iptables -A INPUT ! -i lo -m geoip ! --source-country UA,RU -j DROP
Решил добавить разрешение для почты
iptables -A INPUT ! -i lo -p tcp -m multiport ! --dports 25,110,995,143,993 -m geoip ! --source-country UA,RU -j DROP
Вот где тут косяк? Почта с того же GMAIL не приходит. Да и с mail.ru тоже.?

Содержание

Запутолся с geoip+iptables,PavelR, 19:56 , 02-Мрт-15
Запутолся с geoip+iptables,mplane, 11:03 , 03-Мрт-15
Запутолся с geoip+iptables,greenwar, 15:40 , 16-Мрт-15

Сообщения в этом обсуждении

"Запутолся с geoip+iptables"
Отправлено PavelR , 02-Мрт-15 19:56

Смотрим в таблицы
iptables -nvL

Порядок правил важен, правила проверяются до первого совпадения.

Тестируем с внешних хостов, смотрим на счетчики.

"Запутолся с geoip+iptables"
Отправлено mplane , 03-Мрт-15 11:03

Вроде как получилось.
Вот: iptables -A INPUT -m geoip ! --source-country UA,RU -p tcp -m multiport ! --dports 25,995,143,993,465,587 -j DROP

"Запутолся с geoip+iptables"
Отправлено greenwar , 16-Мрт-15 15:40

> Решил добавить разрешение для почты
> iptables -A INPUT ! -i lo -p tcp -m multiport ! --dports
> 25,110,995,143,993 -m geoip ! --source-country UA,RU -j DROP
> Вот где тут косяк? Почта с того же GMAIL не приходит. Да
> и с mail.ru тоже.?
а как она придёт на lo то? она на внешний фейс приходит