Как запретить все ресурсы в интернете кроме почты?

[alex123456]

Товарищи! В связи с установкой ubuntu на один из рабочих компьютеров в офисе, возник этот вопрос. Необходимо разрешить пользователю использовать только один веб-ресурс в интернете - корпоративную почту по адресу mail.example.ru. Все остальное нужно запретить. Наверно необходимо настроить iptables, кто-нибудь знает как это делается?

[fisher74]

Код: [Выделить]

sudo iptables -A OUTPUT -d mail.example.ru -j ACCEPT
sudo iptables  -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sudo iptables -P OUTPUT DROP
sudo iptables -P INPUT DROP
Но не будет по сети работать НИЧЕГО кроме mail.example.ru

[ArcFi]

dns-то хоть будет работать? =)

[fisher74]

 
Ну да запамятовал. Только вот зачем это DNS? Можно и в hosts упаковать.. ради одного-то имени....

[alex123456]

Код: [Выделить]

sudo iptables -A OUTPUT -d mail.example.ru -j ACCEPT
sudo iptables  -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sudo iptables -P OUTPUT DROP
sudo iptables -P INPUT DROP
Но не будет по сети работать НИЧЕГО кроме mail.example.ru

Не совсем получилось как задумывалось. Там стоит редирект на другой адрес. Как мне сейчас исправить адрес в первом правиле?

[fisher74]

sudo iptables -A OUTPUT -d other_address -j ACCEPT

[alex123456]

пишет

Код: [Выделить]

host\network 'mail.otheraddress.ru' not foundнаверно потому что все остальное уже запрещено

[alex123456]

Вообще наверно не совсем корректно так ставить вопрос было, потому что при работе с почтой через веб-интерфейс происходит несколько редиректов. Нужно будет прописать все эти адреса

[ArcFi]

пишет

Код: [Выделить]

host\network 'mail.otheraddress.ru' not found

Дык, имя хоста в ip кому-то придётся отрезолвить.
О чём мы выше говорили.
Либо по ip разрешать, либо разрешать dns, либо резолвить локально.

Кстати, надеюсь, вы в курсе, что как минимум, ntp, обновления и погода без дополнительных правил тоже работать не будут.

[alex123456]

ну часами и погодой пожертвовать можно. А вот обновления хорошо бы оставить. Да и то в принципе не критично, если компьютер будет работать только с определенными адресами из вне то и опасаться наверно нечего.

[alex123456]

Спасибо fisher74 и arcfi. Все работает.

[alex123456]

Подвожу итог по своему вопросу.

Цель: на одном отдельном рабочем компьютере разрешить пользоваться только почтой через например evolution - все остальное запретить.

Что делаем:
настраиваем iptables, а именно:

разрешаем imap-сервер на порту 143

Код: [Выделить]

sudo iptables -A OUTPUT -d 000.000.000.000 -p tcp --dport 143 -j ACCEPT
разрешаем smtp-сервер на порту 25

Код: [Выделить]

sudo iptables -A OUTPUT -d 000.000.000.001 -p tcp --dport 25 -j ACCEPT
разрешаем вход всех установленных соединений

Код: [Выделить]

sudo iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
запрещаем все что не удовлетворяет предыдущим правилам

Код: [Выделить]

sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT DROP
и незабываем что в настройках evolution, сервера входящей и исходящей почты нужно прописывать по IP адресу.

Вроде все. Всем кто участвовал спасибо.

[Вячеслав Бронштейн]

dns-то хоть будет работать? =)

действительно dns при такой системе не работает. Как тогда разрешить работу с определенным сайтом если он на виртуальном хостинге (т.е. одному ip соответствуют много dns адресов)?

[fisher74]

и незабываем что в настройках evolution, сервера входящей и исходящей почты нужно прописывать по IP адресу.

Добавлю, что можно и по имени, но добавить его (это имя) с IP в /etc/hosts