пересылка спама!!!, halt, 15:54 , 29-Янв-07 (1)
пересылка спама!!!, mavas, 17:00 , 29-Янв-07 (2)
>помогите определить где ошибка, провавйдер говорит что через меня пересылается спам!!!
>почтовый сервер на серваке не установлен, почту клиенты получают с удалённого сервера,
>как прописать что бы почту могли отправлять и получать только определёные
>IP
>
>это мой файл маскарад
>#!/bin/bash
>
>IPTABLES='/sbin/iptables'
>
>EXTIF='eth0'
>INTIF_1='eth1'
>INTIF_2='eth2'
>INTIF_3='eth3'
>#Форвардинг в ядре
>echo 1 > /proc/sys/net/ipv4/ip_forward
>
>#Сброс и удаление всех цепочек
>$IPTABLES -F
>$IPTABLES -X
>$IPTABLES -t nat -F
>$IPTABLES -t nat -X
>
>#Маскарадинг
>$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
>
>#форвардинг
>$IPTABLES -A FORWARD -i $INTIF_1 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>ACCEPT
>$IPTABLES -A FORWARD -i $INTIF_2 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>ACCEPT
>$IPTABLES -A FORWARD -i $INTIF_3 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>ACCEPT
>
>#Пускаем на SSH с наружи
>$IPTABLES -A INPUT --protocol tcp --dport 22 -j ACCEPT
>
>
>
>#$IPTABLES -A INPUT --protocol tcp --dport 1433 -j ACCEPT
>
>$IPTABLES -A INPUT -i $INTIF_2 --protocol tcp --dport 20 -j ACCEPT
>$IPTABLES -A OUTPUT -o $INTIF_2 --protocol tcp --dport 20 -j ACCEPT
>$IPTABLES -A INPUT -i $INTIF_2 --protocol tcp --dport 21 -j ACCEPT
>$IPTABLES -A OUTPUT -o $INTIF_2 --protocol tcp --dport 21 -j ACCEPT
>
>$IPTABLES -A INPUT -i $INTIF_3 --protocol tcp --dport 20 -j ACCEPT
>$IPTABLES -A OUTPUT -o $INTIF_3 --protocol tcp --dport 20 -j ACCEPT
>$IPTABLES -A INPUT -i $INTIF_3 --protocol tcp --dport 21 -j ACCEPT
>$IPTABLES -A OUTPUT -o $INTIF_3 --protocol tcp --dport 21 -j ACCEPT
>#проброс порта сквида
>$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port
>3128
>$IPTABLES -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port
>3128
>$IPTABLES -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port
>3128
>$IPTABLES -t nat -A PREROUTING -p tcp --dport 8081 -j REDIRECT --to-port
>3128
>
>#Все остальное убиваем
>$IPTABLES -A INPUT -i $EXTIF -m state --state NEW,INVALID -j DROP
>$IPTABLES -A FORWARD -i $EXTIF -m state --state NEW,INVALID -j DROP
Вот так примерно
$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport 25 -j DROP
Эта цепочка убъет все пакеты идущие через твою машину с интерфейса $INTIF на $EXTIF от адреса $INT_IP на порт 25, то есть это запрещение конкретных адресов
Если хочешь разрешить комуто, а остальных отрубить, то тогда тебе надо
$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j DROP
тут важна последовательность, сначала разрешил, а потом запретил, правила применятся по порядку, что выше то имеет больший вес.
Тут соттветственно INT_IP пройдет, а все остальное DROP
25 порт это отправка почты, если чтоб и не получали тоды надо 110 еще рубить.
Ответить | Сообщить модератору

пересылка спама!!!, melnik, 17:12 , 29-Янв-07 (3)

пересылка спама!!!, mavas, 17:25 , 29-Янв-07 (4)
>тоесть если я пропишу так
>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport
>25 -j ACCEPT
>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j
>DROP
>
>как я понимаю только определённый машины смогут отправлять почту
>а как приписать айпи кто может отправлять почту???
в начале пишешь
EXTIF="192.168.0.1/24"
или если понятней
EXTIF="192.168.0.1/255.255.255.0"
либо можно прям в цепочке
>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s 192.168.0.1/24 --dport
>25 -j ACCEPT
Ответить | Сообщить модератору

пересылка спама!!!, melnik, 22:06 , 29-Янв-07 (5)

пересылка спама!!!, Oyyo, 22:55 , 29-Янв-07 (6)
пересылка спама!!!, mavas, 06:16 , 30-Янв-07 (7)
>>>тоесть если я пропишу так
>>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport
>>>25 -j ACCEPT
>>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j
>>>DROP
>>>
>>>как я понимаю только определённый машины смогут отправлять почту
>>>а как приписать айпи кто может отправлять почту???
>>
>>в начале пишешь
>>EXTIF="192.168.0.1/24"
>>
>>или если понятней
>>
>>EXTIF="192.168.0.1/255.255.255.0"
>>
>>либо можно прям в цепочке
>>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s 192.168.0.1/24 --dport
>>>25 -j ACCEPT
>
>
>чо то не одно из этих правил непомогает!!!
А ты такие цепочки для всех своих внутренних подсетей прописал ?
У тебя 3 подсети внутренние, я же тебе пример написал.
Чтоб работало надо написать,ля всех
INTIF_1='eth1'
INTIF_2='eth2'
INTIF_3='eth3'
Потом к примеру надо пускать
#С первой подсети
INT_1_IP_1="192.168.0.10"
INT_1_IP_2="192.168.0.11"
#Со второй
INT_2_IP_1="192.168.1.30"
#С третьй
INT_3_IP_1="192.168.2.50"
#А потом для каждого
# Для первой подсети 2 адреса разрешили
$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF -s $INT_1_IP_1 --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF -s $INT_1_IP_2 --dport 25 -j ACCEPT
#Остальное для первой убили
$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF --dport 25 -j DROP
# Для второй
$IPTABLES -A FORWARD -p TCP -i $INTIF_2 -o $EXTIF -s $INT_2_IP_1 --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INTIF_2 -o $EXTIF --dport 25 -j DROP
#Для третьей
$IPTABLES -A FORWARD -p TCP -i $INTIF_3 -o $EXTIF -s $INT_3_IP_1 --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INTIF_3 -o $EXTIF --dport 25 -j DROP
Вот так должно заработать
Вообще есть чудо статья по iptables https://www.opennet.ru/docs/RUS/iptables/
Ответить | Сообщить модератору

пересылка спама!!!, melnik, 13:52 , 30-Янв-07 (8)

пересылка спама!!!, mavas, 17:15 , 30-Янв-07 (9)

>прописал всё как ты написал, почта всеровно уходит!!!
Сделай
iptables -L -v -n
и на всяк случай iptables -L -v -n -t nat
выложи что получилось, посмотрим.

Ответить | Сообщить модератору

пересылка спама!!!, melnik, 18:09 , 30-Янв-07 (10)

пересылка спама!!!, Oyyo, 18:24 , 30-Янв-07 (11)

пересылка спама!!!, melnik, 18:46 , 30-Янв-07 (12)

пересылка спама!!!, Oyyo, 19:00 , 30-Янв-07 (13)

пересылка спама!!!, melnik, 19:03 , 30-Янв-07 (14)
пересылка спама!!!, Oyyo, 19:15 , 30-Янв-07 (15)