iptables и обеспечение smtp

Я пытаюсь заблокировать все SMTP из моей сети, то есть не с моего внутреннего адреса почтового сервера.

Поэтому я просто хотел бы знать, может ли быть что-то, чего я не вижу, или, возможно, что-либо, что я мог бы улучшить в своих текущих правилах iptable для моего почтового сервера.

iptables -I FORWARD -p tcp --dport 25 -j DROP iptables -I FORWARD -p tcp --dport 25 -j LOG --log-prefix "FORWARD-SMTP-DROP: " iptables -I FORWARD -p tcp -s <SMTP IP HERE> --dport 25 -j ACCEPT iptables -I FORWARD -p tcp -d <SMTP IP HERE> --dport 25 -j ACCEPT iptables -I OUTPUT -p tcp -m multiport --dport 25,465,587 -s ! <SMTP IP HERE> -j DROP iptables -I OUTPUT -p tcp -m multiport --dport 25,465,587 -s ! <SMTP IP HERE> -j LOG --log-prefix "OUTPUT-SMTP-DROP: " 

Заранее спасибо 🙂

2 Solutions collect form web for “iptables и обеспечение smtp”

Если стандартная политика iptables в цепочке FORWARD – DROP вы можете удалить первую строку. Дополнительно (для большей безопасности) вы можете добавить входящие и исходящие интерфейсы smtp-трафика в строки 3 и 4.

 iptables -I FORWARD -o <OUTGOING IF> -i <INGOING IF> -p tcp -s <SMTP IP HERE> --dport 25 -j ACCEPT iptables -I FORWARD -o <OUTGOING IF> -i <INGOING IF> -p tcp -d <SMTP IP HERE> --dport 25 -j ACCEPT 

Просто добавьте правильные имена интерфейсов брандмауэра. Причина этого довольно проста: IP-адреса можно легко подделать, но, конечно, вы не можете так легко обмануть физический интерфейс, в который поступает или выходит трафик. Кроме того, правила мне кажутся вполне удовлетворительными. Просто попробуйте, если он работает так, как вы намеревались его работать, и посмотрите, есть ли какое-либо неожиданное поведение.

Смазки, Дарт Раваж

Если ваша политика по умолчанию для цепи FORWARD ACCEPT:

 iptables -I FORWARD -p tcp --dport 25 -o [outgoing iface] -s ! [internal smtp ip] \ -m state --state NEW -j DROP 

В идеале ваша политика по умолчанию должна быть установлена ​​на DROP. Это потребует только того, чтобы вы разрешали трафик, который вы хотите, все, что вы специально не разрешаете, будет отклонено.

 iptables -P FORWARD DROP # set FORWARD policy to DROP iptables -I FORWARD -o [outgoing iface] -s [internal smtp ip] \ -m state --state NEW,ESTABLISHED -j ACCEPT 

Вы должны всегда включать состояние TCP в свои правила -m state --state и если вы используете таблицу FORWARD, вам нужно определить направление правила, используя опцию входящего / исходящего интерфейса, -i & -o . Без определения входящего или исходящего интерфейса эти правила будут неоднозначными и не будут применяться в определенном направлении.

  • iptables не блокирует, мостовой маршрутизатор
  • Является ли firewalld таким же, как iptables?
  • Портирование портов только в случае моего IP, а не других
  • Необходимо подключиться к порту через LAN через межсетевой экран IPTABLES на статическом IP-интерфейсе
  • darkstat показано заблокированным трафиком
  • почему репозиторий debian не содержит lokkit?
  • iptables не блокирует
  • Как не проходить через туннель openvpn для определенного порта
  • Каковы определения addrtype в iptables?
  • ping: неизвестный хост с включенным iptables
  • Трудности настройки iptables
  • Interesting Posts

    Использование Grep In For Loop

    настройка субдомена в модуле centmin

    Учетная запись домена Windows не может создавать файлы через общий ресурс samba, но может ли это сделать в оболочке Linux, почему?

    Можно ли в реальном времени заменить текст в оболочке?

    Скопируйте специальные данные из нескольких файлов. Затем создайте файл csv с несколькими данными

    Ограничить доступ на внешний накопитель, установленный и используемый sftp

    Что такое однопользовательский эквивалент для / opt?

    Почему IP-адрес для Linux Bridge, который является виртуальным устройством уровня 2?

    Не удалось активировать новый LV

    Когда родители, дети и внуки разделяют страницу, как работает копирование на запись?

    После обновления sSMTP до версии 2.61 я не могу отправлять почту через gmail

    Является ли `ln` атомным и надежным на NFS? Может ли NFS заменить GFS в этом случае?

    Создавать эскиз с видео в произвольный временной интервал

    Невозможно убить группу процессов при вызове PHP

    Как установить чашки для использования всех лотков для бумаги на принтере?

    Linux и Unix - лучшая ОС в мире.