The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Запретить доступ к SMTP серверам"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Изначальное сообщение [ Отслеживать ]

"Запретить доступ к SMTP серверам"  +/
Сообщение от voffkamc email(ok) on 27-Мрт-13, 17:57 
Есть сеть 192.168.6.*/24
шлюз на 192.168.6.101
почтовый сервер на 192.168.6.103 (т.к. белого ip укртелеком не дает то отправляю почту через relayhost)
Надо запретить пользователям отправлять почту через любой сервер кроме 192.168.6.103.
Помогите пож. написать такое правило в iptables на шлюзе.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Запретить доступ к SMTP серверам"  +/
Сообщение от КуКу (ok) on 27-Мрт-13, 19:15 
> Есть сеть 192.168.6.*/24
> шлюз на 192.168.6.101
> почтовый сервер на 192.168.6.103 (т.к. белого ip укртелеком не дает то отправляю
> почту через relayhost)
> Надо запретить пользователям отправлять почту через любой сервер кроме 192.168.6.103.
> Помогите пож. написать такое правило в iptables на шлюзе.

синтаксис точно не помню, но чтото вроде этото

iptables -I INPUT -s 192.168.6.103 --dport 25 -j ACCEPT
iptables -I INPUT --dport 25 -j REJECT

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Запретить доступ к SMTP серверам"  +/
Сообщение от PavelR (ok) on 27-Мрт-13, 19:17 
>> Есть сеть 192.168.6.*/24
>> шлюз на 192.168.6.101
>> почтовый сервер на 192.168.6.103 (т.к. белого ip укртелеком не дает то отправляю
>> почту через relayhost)
>> Надо запретить пользователям отправлять почту через любой сервер кроме 192.168.6.103.
>> Помогите пож. написать такое правило в iptables на шлюзе.
> синтаксис точно не помню, но чтото вроде этото
> iptables -I INPUT -s 192.168.6.103 --dport 25 -j ACCEPT
> iptables -I INPUT --dport 25 -j REJECT

iptables -I FORWARD -d 192.168.6.103 -p tcp --dport 25 -j ACCEPT
iptables -I FORWARD -p tcp --dport 25 -j REJECT

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Запретить доступ к SMTP серверам"  +/
Сообщение от КуКу (ok) on 27-Мрт-13, 19:33 
> iptables -I FORWARD -d 192.168.6.103 -p tcp --dport 25 -j ACCEPT
> iptables -I FORWARD -p tcp --dport 25 -j REJECT

давно я не работал с iptables :) вот почему и хотелось бы спросить: почему бы сразу на входе не резать пакеты, а в  цепочке форвард?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Запретить доступ к SMTP серверам"  +/
Сообщение от Andrey Mitrofanov on 27-Мрт-13, 20:22 
>я не работал с iptables
>хотелось бы спросить: почему бы сразу на входе не

Потому что никакого "сразу" или "сначала, потом" нет. Есть http://www.opennet.ru/docs/RUS/iptables/#TRAVERSINGOFTABLES "или-или".

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Запретить доступ к SMTP серверам"  +/
Сообщение от Дядя_Федор on 27-Мрт-13, 21:51 
Поучмничаю. :)
iptables -N mail_chain
iptables -I FORWARD -p tcp --dport 25 -j mail_chain
iptables -I mail_chain -j DROP (или REJECT)
iptables -I mail_chain -s 192.168.8.103 -j ACCEPT
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Запретить доступ к SMTP серверам"  +/
Сообщение от Дядя_Федор on 27-Мрт-13, 21:53 
> iptables -I mail_chain -s 192.168.8.103 -j ACCEPT

Прошу прощения. -d конечно.


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Запретить доступ к SMTP серверам"  +/
Сообщение от Дядя_Федор on 27-Мрт-13, 21:55 
>  Прошу прощения. -d конечно.

Ну и, кстати, подумалось. А с хрена ли это правило должно работать на ШЛЮЗЕ??? Трафик внутри всей /24 сетки ходит напрямую. Так что достаточно просто рубить все соединения на 25 порт ВНАРУЖУ.


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Запретить доступ к SMTP серверам"  +/
Сообщение от PavelR (ok) on 28-Мрт-13, 07:12 
> Поучмничаю. :)
> iptables -N mail_chain
> iptables -I FORWARD -p tcp --dport 25 -j mail_chain
> iptables -I mail_chain -j DROP (или REJECT)
> iptables -I mail_chain -s 192.168.8.103 -j ACCEPT

вы бы еще разжевали публике, зачем делать именно так :-) //не, ну я то знаю, в т.ч. и про ipset :-)))))

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Запретить доступ к SMTP серверам"  +/
Сообщение от PavelR (ok) on 28-Мрт-13, 07:13 
>>  Прошу прощения. -d конечно.
>  Ну и, кстати, подумалось. А с хрена ли это правило должно
> работать на ШЛЮЗЕ??? Трафик внутри всей /24 сетки ходит напрямую. Так
> что достаточно просто рубить все соединения на 25 порт ВНАРУЖУ.

а это как? ( можно и  в терминах iptables)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Запретить доступ к SMTP серверам"  +/
Сообщение от Дядя_Федор on 28-Мрт-13, 08:38 
> а это как? ( можно и  в терминах iptables)

"В терминах iptables" - это так, господин лентяй.
iptables -I FORWARD -p tcp --dport 25 -j DROP
Остальное - это не "термины iptables", а знание основ маршрутизации в сети, которой Вам по недоразумению дали порулить.


Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Запретить доступ к SMTP серверам"  +/
Сообщение от Дядя_Федор on 28-Мрт-13, 08:41 
> вы бы еще разжевали публике, зачем делать именно так :-) //не, ну
> я то знаю, в т.ч. и про ipset :-)))))

Я же говорю - "поумничаю". :) Просто вынес обработку исходящей почты в отдельную цепочку. "Понты", короче. Смысл-то ведь тот же. Хотя, как я сказал выше - разрешающее правило на ШЛЮЗЕ не имеет никакого смысла.


Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Запретить доступ к SMTP серверам"  +1 +/
Сообщение от Дядя_Федор on 28-Мрт-13, 08:50 
Хотя да - туплю. Все верно. Самому почтовику (192.168.6.103) почту-то отправлять надо и она как раз таки пойдет через шлюз. И попадет в цепочку форвард до того, как отнатится внаружу. Так что правила приведенные выше (мной и коллегами) - были верными.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Запретить доступ к SMTP серверам"  +/
Сообщение от PavelR (??) on 28-Мрт-13, 12:37 
>> а это как? ( можно и  в терминах iptables)
>  "В терминах iptables" - это так, господин лентяй.
> iptables -I FORWARD -p tcp --dport 25 -j DROP
> Остальное - это не "термины iptables", а знание основ маршрутизации в сети,
> которой Вам по недоразумению дали порулить.

А не пошел бы ты недоразумение-Федор на МПХ со своими упреками и укорами?
Если не по глазам, то посмотри на моё сообщение #2  www.opennet.ru/openforum/vsluhforumID10/5141.html#2

в котором написано ровно та же команда

iptables -I FORWARD -p tcp --dport 25 -j DROP


хотя если говорить что "рубить все соединения на 25 порт ВНАРУЖУ", то нужно эту самую наружу указать примерно так:

iptables -I FORWARD -p tcp --dport 25 -j DROP -o eth0

где eth0 это наружный интерфейс


Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Запретить доступ к SMTP серверам"  +/
Сообщение от Дядя_Федор on 28-Мрт-13, 14:31 
> А не пошел бы ты недоразумение-Федор на МПХ со своими упреками и
> укорами?
> Если не по глазам, то посмотри на моё сообщение #2  www.opennet.ru/openforum/vsluhforumID10/5141.html#2

Пожалуй, пойду. Неправильно вопрос услышал. Точнее - не от того. В общем  - забей.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Запретить доступ к SMTP серверам"  +/
Сообщение от PavelR (??) on 28-Мрт-13, 20:27 
>> А не пошел бы ты недоразумение-Федор на МПХ со своими упреками и
>> укорами?
>> Если не по глазам, то посмотри на моё сообщение #2  www.opennet.ru/openforum/vsluhforumID10/5141.html#2
>  Пожалуй, пойду. Неправильно вопрос услышал. Точнее - не от того. В
> общем  - забей.

лады, забил. идти никуда не нужно :)

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Запретить доступ к SMTP серверам"  +/
Сообщение от slepnoga (??) on 28-Мрт-13, 20:36 
>>> а это как? ( можно и  в терминах iptables)
>>  "В терминах iptables" - это так, господин лентяй.
>> iptables -I FORWARD -p tcp --dport 25 -j DROP
>> Остальное - это не "термины iptables", а знание основ маршрутизации в сети,
>> которой Вам по недоразумению дали порулить.
> А не пошел бы ты недоразумение-Федор на МПХ со своими упреками и
> укорами?
> Если не по глазам, то посмотри на моё сообщение #2  www.opennet.ru/openforum/vsluhforumID10/5141.html#2

вообще то сложнее, но мысль верная


http://upload.wikimedia.org/wikipedia/commons/3/37/Netfilter...

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Запретить доступ к SMTP серверам"  +/
Сообщение от PavelR (??) on 29-Мрт-13, 17:51 
>>>> а это как? ( можно и  в терминах iptables)
>>>  "В терминах iptables" - это так, господин лентяй.
>>> iptables -I FORWARD -p tcp --dport 25 -j DROP
>>> Остальное - это не "термины iptables", а знание основ маршрутизации в сети,
>>> которой Вам по недоразумению дали порулить.
>> А не пошел бы ты недоразумение-Федор на МПХ со своими упреками и
>> укорами?
>> Если не по глазам, то посмотри на моё сообщение #2  www.opennet.ru/openforum/vsluhforumID10/5141.html#2
> вообще то сложнее, но мысль верная
> http://upload.wikimedia.org/wikipedia/commons/3/37/Netfilter...

Вот ты делаешь DNAT на транзитном маршрутизаторе (пришедший на внешний интерфейс пакет д-натится в локальную сеть). Ответный пакет от хоста в локальной сети придет на маршрутизатор, где его обратно "разнатят". Указан ли на этой схеме момент, когда это произойдет и если да, то в каком месте ?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor