iptables и обеспечение smtp

Я пытаюсь заблокировать все SMTP из моей сети, то есть не с моего внутреннего адреса почтового сервера.

Поэтому я просто хотел бы знать, может ли быть что-то, чего я не вижу, или, возможно, что-либо, что я мог бы улучшить в своих текущих правилах iptable для моего почтового сервера.

iptables -I FORWARD -p tcp --dport 25 -j DROP iptables -I FORWARD -p tcp --dport 25 -j LOG --log-prefix "FORWARD-SMTP-DROP: " iptables -I FORWARD -p tcp -s <SMTP IP HERE> --dport 25 -j ACCEPT iptables -I FORWARD -p tcp -d <SMTP IP HERE> --dport 25 -j ACCEPT iptables -I OUTPUT -p tcp -m multiport --dport 25,465,587 -s ! <SMTP IP HERE> -j DROP iptables -I OUTPUT -p tcp -m multiport --dport 25,465,587 -s ! <SMTP IP HERE> -j LOG --log-prefix "OUTPUT-SMTP-DROP: " 

Заранее спасибо 🙂

  • Правило управления IPTable для отметки трафика для таблицы маршрутов
  • Перенаправить перенаправляющий трафик на локальный сервер
  • Iptables возвращает код 4?
  • Возникли проблемы с пакетами, которые не попадают в Fedora 16 Apache
  • Расход трафика Solus
  • Каков маршрут Dest: 123.123.123.123, GW: 0.0.0.0 означает?
  • Port Mirroring с использованием iptables - копирование всего трафика между nginx на: 80 и Apache по: 8080
  • Не удалось получить доступ к веб-сайту, размещенному на виртуальной машине
  • 2 Solutions collect form web for “iptables и обеспечение smtp”

    Если стандартная политика iptables в цепочке FORWARD – DROP вы можете удалить первую строку. Дополнительно (для большей безопасности) вы можете добавить входящие и исходящие интерфейсы smtp-трафика в строки 3 и 4.

     iptables -I FORWARD -o <OUTGOING IF> -i <INGOING IF> -p tcp -s <SMTP IP HERE> --dport 25 -j ACCEPT iptables -I FORWARD -o <OUTGOING IF> -i <INGOING IF> -p tcp -d <SMTP IP HERE> --dport 25 -j ACCEPT 

    Просто добавьте правильные имена интерфейсов брандмауэра. Причина этого довольно проста: IP-адреса можно легко подделать, но, конечно, вы не можете так легко обмануть физический интерфейс, в который поступает или выходит трафик. Кроме того, правила мне кажутся вполне удовлетворительными. Просто попробуйте, если он работает так, как вы намеревались его работать, и посмотрите, есть ли какое-либо неожиданное поведение.

    Смазки, Дарт Раваж

    Если ваша политика по умолчанию для цепи FORWARD ACCEPT:

     iptables -I FORWARD -p tcp --dport 25 -o [outgoing iface] -s ! [internal smtp ip] \ -m state --state NEW -j DROP 

    В идеале ваша политика по умолчанию должна быть установлена ​​на DROP. Это потребует только того, чтобы вы разрешали трафик, который вы хотите, все, что вы специально не разрешаете, будет отклонено.

     iptables -P FORWARD DROP # set FORWARD policy to DROP iptables -I FORWARD -o [outgoing iface] -s [internal smtp ip] \ -m state --state NEW,ESTABLISHED -j ACCEPT 

    Вы должны всегда включать состояние TCP в свои правила -m state --state и если вы используете таблицу FORWARD, вам нужно определить направление правила, используя опцию входящего / исходящего интерфейса, -i & -o . Без определения входящего или исходящего интерфейса эти правила будут неоднозначными и не будут применяться в определенном направлении.

    Interesting Posts

    Грейп или egrep год варьируется от 1965-1996 годов

    Как установить Kile на Debian KDE 7.3 32 бит?

    Как заменить несколько вхождений шаблона с помощью sed

    Hibernate не отключает ноутбук

    Переименование файлов в лексикографическом порядке с помощью числового шаблона, который последовательно увеличивается с фиксированным заполнением

    networkmanager с gnome 3.6.2 в Arch Linux

    Подавлять конкретные экземпляры ключа поиска в grep

    Почему я могу войти в систему с удаленного хоста без пароля или закрытого ключа?

    Лучше ли передавать все файлы в mv или параллельно запускать несколько процессов mv?

    Создание виртуальной машины Xen на сервере ubuntu

    LINUX: Как вычислить рекурсивно размер каждой подкаталога до корневого каталога?

    Подробный DNS-запрос для просмотра запроса DNS-запроса?

    Управление документами Linux

    Получить родительский каталог данного файла

    OpenSMTPD Консолидация не поддерживаемых сообщений

    Linux и Unix - лучшая ОС в мире.