LINUX.ORG.RU
ФорумAdmin

Iptables защита от исходящего спама

 , ,


0

1

Здравствуйте, друзья! У меня шлюз настроен на ubuntu одним интерфейсом он смотрит наружу, другим внутрь. Внутри сети имеется exchange server. Я сделал проброс 25 порта с внешнего интерфеса на 25 порт exchange чтобы почта извне приходила. Так же закрыл 25 порт всем изнутри наружу, чтоб избавиться от исходящего спама и открыл доступ по 25 порту только для exchange. Но когда включаю правила - снаружи тоже не получается достучаться до exchange и почта не идет.

Вот что у меня в iptables.up.rules

# Generated by iptables-save v1.4.10 on Thu Nov 29 16:57:49 2012
*nat
:PREROUTING ACCEPT [31847:2087861]
:INPUT ACCEPT [20610:1239856]
:OUTPUT ACCEPT [72656:4356370]
:POSTROUTING ACCEPT [72809:4364753]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.1.111:21 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.1.33:25 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.33:80 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.1.33:110 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 143 -j DNAT --to-destination 192.168.1.33:143 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.1.33:443 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 995 -j DNAT --to-destination 192.168.1.33:995 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 993 -j DNAT --to-destination 192.168.1.33:993 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 465 -j DNAT --to-destination 192.168.1.33:465 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 135 -j DNAT --to-destination 192.168.1.33:135 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 389 -j DNAT --to-destination 192.168.1.33:389 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 636 -j DNAT --to-destination 192.168.1.33:636 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 379 -j DNAT --to-destination 192.168.1.33:379 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 390 -j DNAT --to-destination 192.168.1.33:390 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 1433 -j DNAT --to-destination 192.168.20.25:1433 
-A PREROUTING ! -d 192.168.0.0/16 -i eth0 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.1.10:3128 
-A POSTROUTING -s 192.168.0.0/16 -o eth1 -j MASQUERADE 
COMMIT
# Completed on Thu Nov 29 16:57:49 2012
# Generated by iptables-save v1.4.10 on Thu Nov 29 16:57:49 2012
*mangle
:PREROUTING ACCEPT [786710:593832663]
:INPUT ACCEPT [602577:485133963]
:FORWARD ACCEPT [182675:108567475]
:OUTPUT ACCEPT [629431:505882125]
:POSTROUTING ACCEPT [810275:614361821]
COMMIT
# Completed on Thu Nov 29 16:57:49 2012
# Generated by iptables-save v1.4.10 on Thu Nov 29 16:57:49 2012
*filter
:INPUT ACCEPT [558721:454169543]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [584080:472330859]
-A FORWARD -p tcp -s 192.168.1.33  --dport 25 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 25 -j DROP 
-A FORWARD -j ACCEPT 
-A FORWARD -d 192.168.1.111/32 -p tcp -m tcp --dport 21 -j ACCEPT 
-A FORWARD -i eth1 -p tcp -m tcp --dport 21 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
COMMIT
# Completed on Thu Nov 29 16:57:49 2012

Не смущает ?

-A FORWARD -p tcp -s 192.168.1.33  --dport 25 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 25 -j DROP
Второе правило должно резать весь трафик на 25 порту.

pavel38 ()
Ответ на: комментарий от pvvking

-A FORWARD -p tcp -s 192.168.1.33 --dport 25 -j ACCEPT -A FORWARD -i eth0 -p tcp -m tcp --dport 25 -j REJECT

а вот так работает. То есть никого кроме почтовика не пускает наружу по 25 порту

studnet ()
Ответ на: комментарий от studnet
-A FORWARD -s 192.168.1.33  -p tcp -m tcp --dport 25 -j ACCEPT

или

-A FORWARD -p tcp -m tcp -s 192.168.1.33   --dport 25 -j ACCEPT

pvvking ★★ ()
:INPUT ACCEPT [558721:454169543]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [584080:472330859]

...

-A FORWARD -p tcp -s 192.168.1.33  --dport 25 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 25 -j DROP 
-A FORWARD -j ACCEPT 
-A FORWARD -d 192.168.1.111/32 -p tcp -m tcp --dport 21 -j ACCEPT 
-A FORWARD -i eth1 -p tcp -m tcp --dport 21 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
Тогда уж так, не ?
-A FORWARD -p tcp -m tcp -s ! 192.168.1.33  --dport 25 -j DROP

joy4eg ★★★★★ ()
Ответ на: комментарий от studnet

Это warning, но не ошибка. Дабы сие исправить можно сделать так:

-A FORWARD -p tcp -m tcp ! -s 192.168.1.33  --dport 25 -j DROP

joy4eg ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.