форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[ Отслеживать ]

"Запрет исходящих smtp на все, кроме местного релея"

Сообщение от Alex345 (ok) on 22-Июл-08, 16:00

Потребовалось запретить исходящие smtp-соединения на все серверы, кроме корпоративного почтовика. Он по совместительству является шлюзом и расположен по адресу 192.168.1.1 В имеющиеся цепочки было внесено первым для 25 порта вот такое правило -A INPUT -s 192.168.1.0/255.255.255.0 -d ! 192.168.1.1 -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable Которое успешно не работает. Не могу понять, почему. Что я сделал не так?

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Запрет исходящих smtp на все, кроме местного релея"

Сообщение от yurmax on 22-Июл-08, 22:38

>Потребовалось запретить исходящие smtp-соединения на все серверы, кроме корпоративного почтовика. >Он по совместительству является шлюзом и расположен по адресу 192.168.1.1 >В имеющиеся цепочки было внесено первым для 25 порта вот такое правило > > >-A INPUT -s 192.168.1.0/255.255.255.0 -d ! 192.168.1.1 -p tcp -m tcp --dport >25 -j REJECT --reject-with icmp-port-unreachable > >Которое успешно не работает. Не могу понять, почему. Что я сделал не >так? iptables -t nat -A POSTROUTING -p tcp --dport 25 -j DROP ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Запрет исходящих smtp на все, кроме местного релея"
	Сообщение от Alex345 (??) on 23-Июл-08, 08:55
	>>-A INPUT -s 192.168.1.0/255.255.255.0 -d ! 192.168.1.1 -p tcp -m tcp --dport >>25 -j REJECT --reject-with icmp-port-unreachable >> >>Которое успешно не работает. Не могу понять, почему. Что я сделал не >>так? > >iptables -t nat -A POSTROUTING -p tcp --dport 25 -j DROP ? > Судя по всему нет. -A PREROUTING.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Запрет исходящих smtp на все, кроме местного релея"

Сообщение от Andrey Mitrofanov on 23-Июл-08, 10:33

>Потребовалось запретить исходящие smtp-соединения на все серверы, кроме корпоративного почтовика. >Он по совместительству является шлюзом и расположен по адресу 192.168.1.1 >-s 192.168.1.0/255.255.255.0 -d ! 192.168.1.1 -p tcp -m tcp --dport Предположим, что у объекта телепатии имется роутер-прокси, "пускающий" локальную сеть (интерфейс eth1 прокси, адреса 192.168.1.0/24) в Большой Плохой Интернет (интерфейс, ну, скажем, eth0 прокси, и реальный адрес 194.195.196.197) и стоит задача "спамеров давить!" = соединения про SMTP "наружу" не пускать... Решим задачу с помощью генератора наборов правил iptables - firehol: ---8<--- version 5 USERS=192.168.1.0/24 PUBLIC_IP=194.195.196.197 snat to "$PUBLIC_IP" outface eth0 src "$USERS" interface eth1 lan   server smtp accept router 2inet outface eth0 inface eth1 src "$USERS"   server smtp reject --->8--- Правила iptables, сгенерённые firehol из этого конфига -- показывать?... >Которое успешно не работает. Не могу понять, почему. Что я сделал не так? Сделать, чтоб работало -- более простая |-) задача, чем объяснить человеку, что он делает не так. "Я для себя эту задачу"... упорстил. [Л] - форум->Искать(firehol), форум->Искать("бесплатные образцы")

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Запрет исходящих smtp на все, кроме местного релея"

Сообщение от angra (ok) on 23-Июл-08, 23:32

>Что я сделал не так? Выбрали не ту цепочку, вам нужна FORWARD

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]