форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Изначальное сообщение		[ Отслеживать ]

"Запретить доступ к SMTP серверам"	+/–
Сообщение от voffkamc (ok) on 27-Мрт-13, 17:57
Есть сеть 192.168.6.*/24 шлюз на 192.168.6.101 почтовый сервер на 192.168.6.103 (т.к. белого ip укртелеком не дает то отправляю почту через relayhost) Надо запретить пользователям отправлять почту через любой сервер кроме 192.168.6.103. Помогите пож. написать такое правило в iptables на шлюзе.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Запретить доступ к SMTP серверам"	+/–
Сообщение от КуКу (ok) on 27-Мрт-13, 19:15
> Есть сеть 192.168.6.*/24 > шлюз на 192.168.6.101 > почтовый сервер на 192.168.6.103 (т.к. белого ip укртелеком не дает то отправляю > почту через relayhost) > Надо запретить пользователям отправлять почту через любой сервер кроме 192.168.6.103. > Помогите пож. написать такое правило в iptables на шлюзе. синтаксис точно не помню, но чтото вроде этото iptables -I INPUT -s 192.168.6.103 --dport 25 -j ACCEPT iptables -I INPUT --dport 25 -j REJECT
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Запретить доступ к SMTP серверам"	+/–
	Сообщение от PavelR (ok) on 27-Мрт-13, 19:17
	>> Есть сеть 192.168.6.*/24 >> шлюз на 192.168.6.101 >> почтовый сервер на 192.168.6.103 (т.к. белого ip укртелеком не дает то отправляю >> почту через relayhost) >> Надо запретить пользователям отправлять почту через любой сервер кроме 192.168.6.103. >> Помогите пож. написать такое правило в iptables на шлюзе. > синтаксис точно не помню, но чтото вроде этото > iptables -I INPUT -s 192.168.6.103 --dport 25 -j ACCEPT > iptables -I INPUT --dport 25 -j REJECT iptables -I FORWARD -d 192.168.6.103 -p tcp --dport 25 -j ACCEPT iptables -I FORWARD -p tcp --dport 25 -j REJECT
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Запретить доступ к SMTP серверам"	+/–
	Сообщение от КуКу (ok) on 27-Мрт-13, 19:33
	> iptables -I FORWARD -d 192.168.6.103 -p tcp --dport 25 -j ACCEPT > iptables -I FORWARD -p tcp --dport 25 -j REJECT давно я не работал с iptables :) вот почему и хотелось бы спросить: почему бы сразу на входе не резать пакеты, а в  цепочке форвард?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Запретить доступ к SMTP серверам"	+/–
	Сообщение от Andrey Mitrofanov on 27-Мрт-13, 20:22
	>я не работал с iptables >хотелось бы спросить: почему бы сразу на входе не Потому что никакого "сразу" или "сначала, потом" нет. Есть http://www.opennet.me/docs/RUS/iptables/#TRAVERSINGOFTABLES "или-или".
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Запретить доступ к SMTP серверам"	+/–
	Сообщение от Дядя_Федор on 27-Мрт-13, 21:51
	Поучмничаю. :) iptables -N mail_chain iptables -I FORWARD -p tcp --dport 25 -j mail_chain iptables -I mail_chain -j DROP (или REJECT) iptables -I mail_chain -s 192.168.8.103 -j ACCEPT
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "Запретить доступ к SMTP серверам"	+/–
	Сообщение от Дядя_Федор on 27-Мрт-13, 21:53
	> iptables -I mail_chain -s 192.168.8.103 -j ACCEPT Прошу прощения. -d конечно.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Запретить доступ к SMTP серверам"	+/–
	Сообщение от Дядя_Федор on 27-Мрт-13, 21:55
	>  Прошу прощения. -d конечно. Ну и, кстати, подумалось. А с хрена ли это правило должно работать на ШЛЮЗЕ??? Трафик внутри всей /24 сетки ходит напрямую. Так что достаточно просто рубить все соединения на 25 порт ВНАРУЖУ.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	9. "Запретить доступ к SMTP серверам"	+/–
	Сообщение от PavelR (ok) on 28-Мрт-13, 07:13
	>>  Прошу прощения. -d конечно. >  Ну и, кстати, подумалось. А с хрена ли это правило должно > работать на ШЛЮЗЕ??? Трафик внутри всей /24 сетки ходит напрямую. Так > что достаточно просто рубить все соединения на 25 порт ВНАРУЖУ. а это как? ( можно и  в терминах iptables)
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	10. "Запретить доступ к SMTP серверам"	+/–
	Сообщение от Дядя_Федор on 28-Мрт-13, 08:38
	> а это как? ( можно и  в терминах iptables) "В терминах iptables" - это так, господин лентяй. iptables -I FORWARD -p tcp --dport 25 -j DROP Остальное - это не "термины iptables", а знание основ маршрутизации в сети, которой Вам по недоразумению дали порулить.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	13. "Запретить доступ к SMTP серверам"	+/–
	Сообщение от PavelR (??) on 28-Мрт-13, 12:37
	>> а это как? ( можно и  в терминах iptables) >  "В терминах iptables" - это так, господин лентяй. > iptables -I FORWARD -p tcp --dport 25 -j DROP > Остальное - это не "термины iptables", а знание основ маршрутизации в сети, > которой Вам по недоразумению дали порулить. А не пошел бы ты недоразумение-Федор на МПХ со своими упреками и укорами? Если не по глазам, то посмотри на моё сообщение #2  www.opennet.ru/openforum/vsluhforumID10/5141.html#2 в котором написано ровно та же команда iptables -I FORWARD -p tcp --dport 25 -j DROP хотя если говорить что "рубить все соединения на 25 порт ВНАРУЖУ", то нужно эту самую наружу указать примерно так: iptables -I FORWARD -p tcp --dport 25 -j DROP -o eth0 где eth0 это наружный интерфейс
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	14. "Запретить доступ к SMTP серверам"	+/–
	Сообщение от Дядя_Федор on 28-Мрт-13, 14:31
	> А не пошел бы ты недоразумение-Федор на МПХ со своими упреками и > укорами? > Если не по глазам, то посмотри на моё сообщение #2  www.opennet.ru/openforum/vsluhforumID10/5141.html#2 Пожалуй, пойду. Неправильно вопрос услышал. Точнее - не от того. В общем  - забей.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	15. "Запретить доступ к SMTP серверам"	+/–
	Сообщение от PavelR (??) on 28-Мрт-13, 20:27
	>> А не пошел бы ты недоразумение-Федор на МПХ со своими упреками и >> укорами? >> Если не по глазам, то посмотри на моё сообщение #2  www.opennet.ru/openforum/vsluhforumID10/5141.html#2 >  Пожалуй, пойду. Неправильно вопрос услышал. Точнее - не от того. В > общем  - забей. лады, забил. идти никуда не нужно :)
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	16. "Запретить доступ к SMTP серверам"	+/–
	Сообщение от slepnoga (??) on 28-Мрт-13, 20:36
	>>> а это как? ( можно и  в терминах iptables) >>  "В терминах iptables" - это так, господин лентяй. >> iptables -I FORWARD -p tcp --dport 25 -j DROP >> Остальное - это не "термины iptables", а знание основ маршрутизации в сети, >> которой Вам по недоразумению дали порулить. > А не пошел бы ты недоразумение-Федор на МПХ со своими упреками и > укорами? > Если не по глазам, то посмотри на моё сообщение #2  www.opennet.ru/openforum/vsluhforumID10/5141.html#2 вообще то сложнее, но мысль верная http://upload.wikimedia.org/wikipedia/commons/3/37/Netfilter...
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	17. "Запретить доступ к SMTP серверам"	+/–
	Сообщение от PavelR (??) on 29-Мрт-13, 17:51
	>>>> а это как? ( можно и  в терминах iptables) >>>  "В терминах iptables" - это так, господин лентяй. >>> iptables -I FORWARD -p tcp --dport 25 -j DROP >>> Остальное - это не "термины iptables", а знание основ маршрутизации в сети, >>> которой Вам по недоразумению дали порулить. >> А не пошел бы ты недоразумение-Федор на МПХ со своими упреками и >> укорами? >> Если не по глазам, то посмотри на моё сообщение #2  www.opennet.ru/openforum/vsluhforumID10/5141.html#2 > вообще то сложнее, но мысль верная > http://upload.wikimedia.org/wikipedia/commons/3/37/Netfilter... Вот ты делаешь DNAT на транзитном маршрутизаторе (пришедший на внешний интерфейс пакет д-натится в локальную сеть). Ответный пакет от хоста в локальной сети придет на маршрутизатор, где его обратно "разнатят". Указан ли на этой схеме момент, когда это произойдет и если да, то в каком месте ?
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	8. "Запретить доступ к SMTP серверам"	+/–
	Сообщение от PavelR (ok) on 28-Мрт-13, 07:12
	> Поучмничаю. :) > iptables -N mail_chain > iptables -I FORWARD -p tcp --dport 25 -j mail_chain > iptables -I mail_chain -j DROP (или REJECT) > iptables -I mail_chain -s 192.168.8.103 -j ACCEPT вы бы еще разжевали публике, зачем делать именно так :-) //не, ну я то знаю, в т.ч. и про ipset :-)))))
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	11. "Запретить доступ к SMTP серверам"	+/–
	Сообщение от Дядя_Федор on 28-Мрт-13, 08:41
	> вы бы еще разжевали публике, зачем делать именно так :-) //не, ну > я то знаю, в т.ч. и про ipset :-))))) Я же говорю - "поумничаю". :) Просто вынес обработку исходящей почты в отдельную цепочку. "Понты", короче. Смысл-то ведь тот же. Хотя, как я сказал выше - разрешающее правило на ШЛЮЗЕ не имеет никакого смысла.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	12. "Запретить доступ к SMTP серверам"	+1 +/–
	Сообщение от Дядя_Федор on 28-Мрт-13, 08:50
	Хотя да - туплю. Все верно. Самому почтовику (192.168.6.103) почту-то отправлять надо и она как раз таки пойдет через шлюз. И попадет в цепочку форвард до того, как отнатится внаружу. Так что правила приведенные выше (мной и коллегами) - были верными.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема