LINUX.ORG.RU

Iptables и NAT


0

0

Здравствуйте!

Борюсь с исходящим спамом и позакрывал все что только можно, но возник вопрос.
Скажите, пожалуйста, является ли дырой использование такой команды:

iptables -t nat -A POSTROUTING -o $91.190.x.x -s 172.16.100.1(мой ip) -j SNAT --to $91.190.x.x

Без этого не работает ни фтп, ни торрент. Если я разрешаю NAT для одного(или всех ПК) в локальной сети, но при этом режу 25 и другие разные порты, то сам по себе NAT может каким-то образом являться дырой и причиной пропускания СПАМа из локальных (зараженных) ПК?

Спасибо за ответы.

А если переделать вопрос в «как бороться со спамом из локалки ?» ?

Варианты:

1. закрыть форвардинг для smtp вообще и открыть для некоторого ограниченного списка релеев, их объявить пользователям.

2. Поднять локальный MTA на шлюзе, закрыть форвардинг вообще, всем сказать испрользовать шлюз в качестве smtp.

3. Поднять локальный MTA на шлюзе, сделать для smtp редирект на локальный IP шлюза

На локальном MTA настроить лимиты, можно антиспам и т.п.

AS ★★★★★ ()

iptables -A FORWARD -o $внешний_интерфейс -p tcp --dport 25 -j DROP

Полагаю, этого достаточно.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.