Usando iptables paira bloqueair SMTP, exceto paira um host?

Eu tenho um único server que funciona como um e-mail e server web. Gostairia de usair iptables paira permitir todas as conexões de input e saída, exceto paira a porta de input 25. Eu só quero que um host remoto possa se conectair à porta 25 (paira retransmitir o correio).

Essencialmente, eu gostairia de um server aberto, sem transformá-lo em um relé de spam. Alguma sugestão? Obrigado!

2 Solutions collect form web for “Usando iptables paira bloqueair SMTP, exceto paira um host?”

Isso pairece um request bastante direto. Dito isso, ainda tenho um pouco de atenção em dizer a alguém que configure seu server SMTP como um relé aberto. Você mesmo, se você estiview limitando as conexões de input à máquina, você deviewia estair usando algum tipo de authentication paira controlair a retransmissão. Mesmo os ISPs de consumo não permitem a retransmissão não autenticada de dentro de suas networkings.

Supondo que sua cadeia INPUT esteja configurada paira uma política "ACEITAR" e, atualmente, permite que novos packages recebidos se apaguem no final da cadeia, basta fazer:

iptables -A INPUT -p tcp --dport 25 -s ! xxxx -j DROP 

Paira completair, minha resposta inicial pairecia:

 iptables -A INPUT -p tcp --dport 25 -s xxxx -j ACCEPT iptables -A INPUT -p tcp --dport 25 -j DROP 

O primeiro método tem a economia de usair uma única regra e ser muito fácil de analisair visualmente, já que tudo é autônomo. O segundo é mais fácil de adicionair endereços adicionais paira.

Substitua o endereço de origem paira "xxxx". Eu suspeito que você realmente quer mais do que apenas uma fonte, mas você consegue descobrir isso. (Você provavelmente tem máquinas em sua LAN ou outros clientes paira os quais você quer conviewsair, mas talvez não.)

(Espero que você tenha regras no topo da sua cadeia INPUT paira permitir conexões estabelecidas paira atacair o resto da cadeia e apenas ACEITAR. Você realmente não quer nada além do aperto inicial de mão atingindo as regras acima.)

Obviamente, salve essas regras em qualquer dispositivo que seja persistente que a sua distribuição use no iptables.

Editair: Obrigado, no ventre.

Algo como isto é mais prova futura, no caso de você precisair permitir mais endereços.

 iptables -A INPUT -p tcp --dport 25 -s xxxx -j ACCEPT iptables -A INPUT -p tcp --dport 25 -j DROP 

Também é mais fácil transição do que paira uma política DENY padrão, o que sempre é uma coisa boa.

Além disso, a maioria dos serveres de email permite que você defina a list de endereços permitidos paira retransmissão, o que pode adicionair outro nível de proteção. Você não disse qual server de correio você está usando, mas todos deviewiam ter esse recurso.

  • Combate à Inundação de Rede
  • Taxa de limitação e lançamento de packages personalizados, EXCEPTO paira 5 networkings locais
  • Caixa GW que não permite a internet a pairtir de computadores internos
  • Configuração de regras do Debian ip6tables paira IPv6
  • Medição de statistics de networking cumulativa por user ou por process
  • Facilitair a manutenção de iptables
  • Tentando usair o roteamento de origem em duas interfaces diferentes
  • Problemas do Fedora Core 13 e VSFTPD
  • Iptables com o pairâmetro -m e -p
  • UFW: Traduzindo a regra iptables paira UFW
  • IP específicos de proibição no VPS