Fórumok
Hi!
Van egy helyi halozatom: 192.168.0.0/24
A 192.168.0.254-es gep a mailszerver. Ez a gep egyben NAT-ol is.
A 192.168.0.0/24-es halozatbol az internet fele meno direkt TCP 25/smtp forgalmat szeretnem kitiltani. Azert, hogy ha beszed valami gep egy malware-t, akkor ne ontsa a leveleket az internetre. Termeszetesen ugy, hogy ettol meg a mailszerveren keresztul tudjon levelet kuldeni.
Erre kellene nekem egy iptables szabaly.
Koszi!
Hozzászólások
iptables -A OUTPUT -m iprange --src-range 192.168.0.1-192.168.0.253 -p tcp --sport 25 -j DROP
Szerintem nem OUTPUT, hanem FORWARD, es nem --sport, hanem --dport. Valahogy igy:
iptables -A FORWARD -o $EXTERNAL_IF -p tcp --dport 25 -j DROP
Jogos, az output lánc csak a mailserverre vonatkozna :)
Koszonom. Ez mit is csinal pontosan?
- csak a tovabbitott csomagokat nezi (FORWARD lanc), a szerverrol indulokkal nem foglalkozik
- csak a kimeno csomagokat nezi (-o kulso_interfesz)
- csak azokat a tcp csomagokat, aminek a cel portja a 25-os (smtp)
Na ezeket jol eldobja (-j DROP) :-)