>Потребовалось запретить исходящие smtp-соединения на все серверы, кроме корпоративного почтовика.
>Он по совместительству является шлюзом и расположен по адресу 192.168.1.1
>-s 192.168.1.0/255.255.255.0 -d ! 192.168.1.1 -p tcp -m tcp --dport Предположим, что у объекта телепатии имется роутер-прокси, "пускающий" локальную сеть (интерфейс eth1 прокси, адреса 192.168.1.0/24) в Большой Плохой Интернет (интерфейс, ну, скажем, eth0 прокси, и реальный адрес 194.195.196.197) и стоит задача "спамеров давить!" = соединения про SMTP "наружу" не пускать...
Решим задачу с помощью генератора наборов правил iptables - firehol:
---8<---
version 5
USERS=192.168.1.0/24
PUBLIC_IP=194.195.196.197
snat to "$PUBLIC_IP" outface eth0 src "$USERS"
interface eth1 lan
server smtp accept
router 2inet outface eth0 inface eth1 src "$USERS"
server smtp reject
--->8---
Правила iptables, сгенерённые firehol из этого конфига -- показывать?...
>Которое успешно не работает. Не могу понять, почему. Что я сделал не так?
Сделать, чтоб работало -- более простая |-) задача, чем объяснить человеку, что он делает не так. "Я для себя эту задачу"... упорстил.
[Л]
- форум->Искать(firehol), форум->Искать("бесплатные образцы")