spam - iptables - helyi halorol kifele meno 25/smtp tiltas

 ( trinity | 2007. november 20., kedd - 11:08 )

Hi!

Van egy helyi halozatom: 192.168.0.0/24
A 192.168.0.254-es gep a mailszerver. Ez a gep egyben NAT-ol is.

A 192.168.0.0/24-es halozatbol az internet fele meno direkt TCP 25/smtp forgalmat szeretnem kitiltani. Azert, hogy ha beszed valami gep egy malware-t, akkor ne ontsa a leveleket az internetre. Termeszetesen ugy, hogy ettol meg a mailszerveren keresztul tudjon levelet kuldeni.

Erre kellene nekem egy iptables szabaly.

Koszi!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

iptables -A OUTPUT -m iprange --src-range 192.168.0.1-192.168.0.253 -p tcp --sport 25 -j DROP

Szerintem nem OUTPUT, hanem FORWARD, es nem --sport, hanem --dport. Valahogy igy:

iptables -A FORWARD -o $EXTERNAL_IF -p tcp --dport 25 -j DROP

Jogos, az output lánc csak a mailserverre vonatkozna :)

Koszonom. Ez mit is csinal pontosan?

- csak a tovabbitott csomagokat nezi (FORWARD lanc), a szerverrol indulokkal nem foglalkozik
- csak a kimeno csomagokat nezi (-o kulso_interfesz)
- csak azokat a tcp csomagokat, aminek a cel portja a 25-os (smtp)

Na ezeket jol eldobja (-j DROP) :-)