iptables и обеспечение smtp

Я пытаюсь заблокировать все SMTP из моей сети, то есть не с моего внутреннего адреса почтового сервера.

Поэтому я просто хотел бы знать, может ли быть что-то, чего я не вижу, или, возможно, что-либо, что я мог бы улучшить в своих текущих правилах iptable для моего почтового сервера.

iptables -I FORWARD -p tcp --dport 25 -j DROP iptables -I FORWARD -p tcp --dport 25 -j LOG --log-prefix "FORWARD-SMTP-DROP: " iptables -I FORWARD -p tcp -s <SMTP IP HERE> --dport 25 -j ACCEPT iptables -I FORWARD -p tcp -d <SMTP IP HERE> --dport 25 -j ACCEPT iptables -I OUTPUT -p tcp -m multiport --dport 25,465,587 -s ! <SMTP IP HERE> -j DROP iptables -I OUTPUT -p tcp -m multiport --dport 25,465,587 -s ! <SMTP IP HERE> -j LOG --log-prefix "OUTPUT-SMTP-DROP: " 

Заранее спасибо 🙂

  • Что означают цифры в скобках для вывода iptables-save?
  • Играет ли fwknop с UFW?
  • Как разрешить SSH и SMTP использовать только IPTables?
  • tc command linux
  • Перенаправление пакетов и сохранение содержимого на диск
  • Изменение IP-таблиц для разрешения FTP через TLS с использованием пассивных портов
  • IPtables на ubuntu 12.04
  • Использовать iptables для блокировки ssh
  • 2 Solutions collect form web for “iptables и обеспечение smtp”

    Если стандартная политика iptables в цепочке FORWARD – DROP вы можете удалить первую строку. Дополнительно (для большей безопасности) вы можете добавить входящие и исходящие интерфейсы smtp-трафика в строки 3 и 4.

     iptables -I FORWARD -o <OUTGOING IF> -i <INGOING IF> -p tcp -s <SMTP IP HERE> --dport 25 -j ACCEPT iptables -I FORWARD -o <OUTGOING IF> -i <INGOING IF> -p tcp -d <SMTP IP HERE> --dport 25 -j ACCEPT 

    Просто добавьте правильные имена интерфейсов брандмауэра. Причина этого довольно проста: IP-адреса можно легко подделать, но, конечно, вы не можете так легко обмануть физический интерфейс, в который поступает или выходит трафик. Кроме того, правила мне кажутся вполне удовлетворительными. Просто попробуйте, если он работает так, как вы намеревались его работать, и посмотрите, есть ли какое-либо неожиданное поведение.

    Смазки, Дарт Раваж

    Если ваша политика по умолчанию для цепи FORWARD ACCEPT:

     iptables -I FORWARD -p tcp --dport 25 -o [outgoing iface] -s ! [internal smtp ip] \ -m state --state NEW -j DROP 

    В идеале ваша политика по умолчанию должна быть установлена ​​на DROP. Это потребует только того, чтобы вы разрешали трафик, который вы хотите, все, что вы специально не разрешаете, будет отклонено.

     iptables -P FORWARD DROP # set FORWARD policy to DROP iptables -I FORWARD -o [outgoing iface] -s [internal smtp ip] \ -m state --state NEW,ESTABLISHED -j ACCEPT 

    Вы должны всегда включать состояние TCP в свои правила -m state --state и если вы используете таблицу FORWARD, вам нужно определить направление правила, используя опцию входящего / исходящего интерфейса, -i & -o . Без определения входящего или исходящего интерфейса эти правила будут неоднозначными и не будут применяться в определенном направлении.

    Linux и Unix - лучшая ОС в мире.