Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: [решено] Правило iptables - фильтрация исходящего SMTP трафика  (Прочитано 4084 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн derrty

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Есть необходимость заблокировать возможность отправки почты по SMTP из локальной сети со всех ПК, кроме почтового сервера.

Составил под эту потребность правило - верно ли оно?

iptables -A OUTPUT -i eth1 -p tcp --source 192.168.0.0/16 --destination 0.0.0.0/32 --dport 25 -j DROP

Как дополнить это правило, чтобы разрешить почтовому серверу отправлять письма по SMTP во внешний интернет (добавить его в белый список)?
« Последнее редактирование: 25 Мая 2012, 10:51:45 от derrty »

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1709
  • חתול המדען
    • Просмотр профиля
Хост на котором существует такое правило какую роль выполняет в сети?
OpenWrt 19.07

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28337
    • Просмотр профиля
587 порт не забудьте заблокировать...

И нафига писать --destination если под ваше правило попадают ВСЕ пакеты?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн drako

  • Старожил
  • *
  • Сообщений: 1422
    • Просмотр профиля
OUTPUT и сеть в качестве источника - что-то как-то не вяжется, в вашем случае...

Оффлайн derrty

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Хост на котором существует такое правило какую роль выполняет в сети?

Это роутер с прошивкой на Линуксе http://zyxel.ru/keenetic-giga

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1709
  • חתול המדען
    • Просмотр профиля
Правило неверно. Потому что, не блокирует транзитный трафик, и в качестве назначения указан один единственный адрес при котором оно сработает.
(Нажмите, чтобы показать/скрыть)
OpenWrt 19.07

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28337
    • Просмотр профиля
KT315, неверно же.
RETURN - действие по умолчанию для кастомных цепочек. Явно использовать его необходимо, только если тебе нужно вернуться из цепочки досрочно.

Таким образом,

(Нажмите, чтобы показать/скрыть)
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн derrty

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Как я понимаю это работает так:

Код: (text) [Выделить]
*filter
:FORWARD DROP [0:0] # отключение пересылки всех пакетов
:WEB - [0:0] # добавляем цепочку WEB
:MAIL - [0:0] # добавляем цепочку MAIL

# для чего нужна строчка "*filter"?

# принимать пакет, если он принадлежать соединению и с ним связан,
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

# для перечисленных удалённых портов уходящих через интерфейс eth1 (смотрящий во внешний интернет) обрабатывать, согласно фильтрам цепочек MAIL и WEB соответственно
-A FORWARD -o eth1 -p tcp -m multiport --dports 25,110,143,465,587,993,995,4190 -j MAIL
-A FORWARD -o eth1 -p tcp -m multiport --dports 80,443,8000,8080 -j WEB

# пересылать пакты из локальной сети, не попавшие под два предыдущих условия, во внешний интернет
-A FORWARD -o eth1 -i eth0 -s 192.168.0.0/16 -j ACCEPT

# если пакет не от внутреннего почтового сервера ко внешнему - отбрасывать
-A MAIL ! -s ip_mail-srv -d ip_mail-srv -j DROP

# блокирование интернета отдельным ip в локальной сети
-A WEB -s $bannedAddress1 -j DROP
-A WEB -s $bannedAddress2 -j DROP

COMMIT # а эта сточка зачем?

Я правильно понял?
Всё это надо добавить в конфигфайл iptables?
« Последнее редактирование: 23 Мая 2012, 12:04:59 от derrty »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28337
    • Просмотр профиля
*filter - таблица filter. Тебе бы, для начала, теорию работы iptables подучить надо, не находишь?
Да.
Да.
Да. Только не под два предыдущих, а под все предыдущие.
Да.
Да.
Так надо.

man iptables-save/iptables-restore
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн derrty

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Спасибо!

Тебе бы, для начала, теорию работы iptables подучить надо, не находишь?

Верно, но:
1. сейчас готовлюсь к сессии
2. уже читаю http://pro-ldap.ru/tr/zytrax/ (кстати всем советую)

Еще раз спасибо!

 

Страница сгенерирована за 0.085 секунд. Запросов: 25.