Salut,
Ca sa fim pedanti si completi: cele 2 reguli de iptables pe care le-au
mentionat colegii pot fi comasate intr-una singura, folosind
facilitatea iptables de a accepta unii parametri "negati".
$IPTABLES -I FORWARD -p tcp --dport 25 -s \! 192.168.0.2 -j DROP
Ionut, cred ca e destul de safe sa dai comanda de mai sus. Ea face
urmatorul lucru:
- adauga regula la inceputul chainului (am folosit -I in loc de -A)
- e vorba de chainul FORWARD pentru ca prin el trec pachetele dinspre
reteaua interna spre internet
- -p tcp --dport 25 inseamna ca aplic regula la protocolul tcp, portul 25
- -s \! 192.168.0.2 inseamna ca aplic regula la IP-urile _diferite_ de
192.168.0.2
- -j DROP inseamna ca regula nu permite trecerea pachetelor.
- inlocuiesti "$IPTABLES" cu comanda ta iptables (/sbin/iptables,
/usr/sbin/iptables, etc)
Si o mica completare: mai trebuie sa adaugi si " -i ethX " dupa FORWARD,
unde ethX il inlocuiesti cu interfata pe care ai ridicat IP-ul din clasa
192.168.0.0 pe gateway. fara aceasta optiune, serverul de mail nu va
primi nimic din exterior.
In caz ca nu stii cum se afla ethX, in consola executi comanda "ip a" si
in lista ce iti apare cauti clasa ta. De exemplu clasa 192.168.23.0
apartine eth0 in exemplu de mai jos:
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast
qlen 1000
link/ether 00:30:48:76:aa:d4 brd ff:ff:ff:ff:ff:ff
inet 192.168.23.19/24 brd 192.168.23.255 scope global eth0
PS. eu las 2 reguli pentru ca intotdeauna va veni "un prieten" sa ceara
o a 3-a "hai lasa-ma si pe mine sa trimit mailuri direct" si atunci se
repeta regula 1 intre regulile 1 si 2 oridecate ori ai "prieten" :)
Cristi
Atentie insa, un firewall inseamna o suma de reguli. Ele sunt evaluate
de sus in jos, deci ordinea lor e importanta. Nu e bine sa adaugi o
regula "orbeste", daca nu ai imaginea de ansamblu a firewall-ului,
pentru ca pot aparea efecte secundare.
De aceea subscriu la recomandarile calduroase de a te documenta despre
iptables inainte de a "umbla" la firewall.
HTH too.
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug
