iptables. Как разрешить smtp только на конкретный ip?

[Ghost]

Сабж.
Нужно сделать так что юзера могли коннектиться для отправки мыла (smtp) только с нашего почтового сервера (стоит во вне).
Подскажите пожалуйста )

[kiev]

наверно наоборот - вам надо завернуть юзеров на свой почтовик?
тогда так:
iptables -t nat -I PREROUTING -p tcp --dport 25 -i ${LAN} -j DNAT --to 192.168.ip_вашего_почтовика:25
где ${LAN} - внутренняя сетевушка
естественно почтовик надо использовать exim и если вам неповезло и во внутренней сети есть затрояненные Windowsы - то в почтовике надо добавить правило по которому разрешить отправлять те письма в которых домен отправителя принадлежит разрешенному списку, иначе ваш IP быстро попадет  во все блек листы...

[Ghost]

наверно наоборот - вам надо завернуть юзеров на свой почтовик?

Отчасти Вы правы) Но нужно именно резать все остальны запросы по 25 порту (что бы не нагружать мейл  сервачок), кроме ай-пи мэйлсервера).

т.е. Все запросы кроме "ip сервера" по 25 порту нужно посылать в дроп.

Хотя, по сути, где запросы будут отваливаться не суть важно. Но хочеться сделать максимально "симпатишно".

[kiev]

ну так поставить там drop, но более правильно как я выше описал - тогда вы будете видеть с каких компьютеров идут попытки спама и которые заражены троянами - вы ведь не хотите что-бы трояны грохнули все данные на винте - у наших пользователей такое было - троян (был на вполне приличном сайте) после 14 тысяч за 10 минут разослать спам - просто грохнул партишн на винчестере.

[Ghost]

Большущее спасибо )