[решено] Правило iptables - фильтрация исходящего SMTP трафика

[derrty]

Есть необходимость заблокировать возможность отправки почты по SMTP из локальной сети со всех ПК, кроме почтового сервера.

Составил под эту потребность правило - верно ли оно?

iptables -A OUTPUT -i eth1 -p tcp --source 192.168.0.0/16 --destination 0.0.0.0/32 --dport 25 -j DROP

Как дополнить это правило, чтобы разрешить почтовому серверу отправлять письма по SMTP во внешний интернет (добавить его в белый список)?

[koshev]

Хост на котором существует такое правило какую роль выполняет в сети?

[AnrDaemon]

587 порт не забудьте заблокировать...

И нафига писать --destination если под ваше правило попадают ВСЕ пакеты?

[drako]

OUTPUT и сеть в качестве источника - что-то как-то не вяжется, в вашем случае...

[derrty]

Хост на котором существует такое правило какую роль выполняет в сети?

Это роутер с прошивкой на Линуксе http://zyxel.ru/keenetic-giga

[koshev]

Правило неверно. Потому что, не блокирует транзитный трафик, и в качестве назначения указан один единственный адрес при котором оно сработает.

(Нажмите, чтобы показать/скрыть)

Код: (text) [Выделить]

iptables -P FORWARD DROP
iptables -N WEB
iptables -N MAIL
iptables -A FORWARD -p tcp -m multiport --dports 25,110,143,465,587,993,995,4190 -j MAIL
iptables -A FORWARD -p tcp -m multiport --dports 80,443,8000,8080 -j WEB
iptables -A MAIL -s ip_mail-srv -d ip_mail-srv -j ACCEPT
iptables -A MAIL -j RETURN
iptables -A WEB -s localnet/mask -j ACCEPT
iptables -A WEB -j RETURNДалее по аналогии.

[AnrDaemon]

KT315, неверно же.
RETURN - действие по умолчанию для кастомных цепочек. Явно использовать его необходимо, только если тебе нужно вернуться из цепочки досрочно.

Таким образом,

(Нажмите, чтобы показать/скрыть)

Код: (text) [Выделить]

*filter
:FORWARD DROP [0:0]
:WEB - [0:0]
:MAIL - [0:0]
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o $inet -p tcp -m multiport --dports 25,110,143,465,587,993,995,4190 -j MAIL
-A FORWARD -o $inet -p tcp -m multiport --dports 80,443,8000,8080 -j WEB
-A FORWARD -o $inet -i $local -s $localnet/$mask -j ACCEPT
-A MAIL ! -s ip_mail-srv -d ip_mail-srv -j DROP
-A WEB -s $bannedAddress1 -j DROP
-A WEB -s $bannedAddress2 -j DROP
COMMIT


[derrty]

Как я понимаю это работает так:

Код: (text) [Выделить]

*filter
:FORWARD DROP [0:0] # отключение пересылки всех пакетов
:WEB - [0:0] # добавляем цепочку WEB
:MAIL - [0:0] # добавляем цепочку MAIL

# для чего нужна строчка "*filter"?

# принимать пакет, если он принадлежать соединению и с ним связан,
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

# для перечисленных удалённых портов уходящих через интерфейс eth1 (смотрящий во внешний интернет) обрабатывать, согласно фильтрам цепочек MAIL и WEB соответственно
-A FORWARD -o eth1 -p tcp -m multiport --dports 25,110,143,465,587,993,995,4190 -j MAIL
-A FORWARD -o eth1 -p tcp -m multiport --dports 80,443,8000,8080 -j WEB

# пересылать пакты из локальной сети, не попавшие под два предыдущих условия, во внешний интернет
-A FORWARD -o eth1 -i eth0 -s 192.168.0.0/16 -j ACCEPT

# если пакет не от внутреннего почтового сервера ко внешнему - отбрасывать
-A MAIL ! -s ip_mail-srv -d ip_mail-srv -j DROP

# блокирование интернета отдельным ip в локальной сети
-A WEB -s $bannedAddress1 -j DROP
-A WEB -s $bannedAddress2 -j DROP

COMMIT # а эта сточка зачем?

Я правильно понял?
Всё это надо добавить в конфигфайл iptables?

[AnrDaemon]

*filter - таблица filter. Тебе бы, для начала, теорию работы iptables подучить надо, не находишь?
Да.
Да.
Да. Только не под два предыдущих, а под все предыдущие.
Да.
Да.
Так надо.

man iptables-save/iptables-restore

[derrty]

Спасибо!

Тебе бы, для начала, теорию работы iptables подучить надо, не находишь?

Верно, но:
1. сейчас готовлюсь к сессии
2. уже читаю http://pro-ldap.ru/tr/zytrax/ (кстати всем советую)

Еще раз спасибо!