Cristian Ilyes wrote:
Salut,
Ca sa fim pedanti si completi: cele 2 reguli de iptables pe care le-au
mentionat colegii pot fi comasate intr-una singura, folosind
facilitatea iptables de a accepta unii parametri "negati".
$IPTABLES -I FORWARD -p tcp --dport 25 -s \! 192.168.0.2 -j DROP
Ionut, cred ca e destul de safe sa dai comanda de mai sus. Ea face
urmatorul lucru:
- adauga regula la inceputul chainului (am folosit -I in loc de -A)
- e vorba de chainul FORWARD pentru ca prin el trec pachetele dinspre
reteaua interna spre internet
- -p tcp --dport 25 inseamna ca aplic regula la protocolul tcp,
portul 25
- -s \! 192.168.0.2 inseamna ca aplic regula la IP-urile _diferite_ de
192.168.0.2
- -j DROP inseamna ca regula nu permite trecerea pachetelor.
- inlocuiesti "$IPTABLES" cu comanda ta iptables (/sbin/iptables,
/usr/sbin/iptables, etc)
Si o mica completare: mai trebuie sa adaugi si " -i ethX " dupa
FORWARD, unde ethX il inlocuiesti cu interfata pe care ai ridicat
IP-ul din clasa 192.168.0.0 pe gateway. fara aceasta optiune, serverul
de mail nu va primi nimic din exterior.
nu vreau sa par mai timpit decit sint, dar ce legatura au pachetele
trimise/primite de smtpd-ul de pe server pe portul 25 (i.e. via
chain-urile INPUT si OUTPUT) cu regulile de pe FORWARD port 25 ?
poti sa tai si complet forwardingul din sysctl, folosind mta-ul de pe
server se poate comunica in continuare via mail bine mersi.
--
'Government is like a baby: An alimentary canal with a big
appetite at one end and no sense of responsibility at the other.'
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug
