iptables и обеспечение smtp
Если вы сделаете это
exec bash
, вы будете использовать свежую и новую окружающую среду
. Если ваша стандартная политика iptables в FORWARD-цепочки составляет DROP, вы можете удалить первую строку.
Дополнительно (для большей безопасности) вы можете добавить входящий и исходящий интерфейсы smtp-трафика в строки 3 и 4.
iptables -I FORWARD -o <OUTGOING IF> -i <INGOING IF> -p tcp -s <SMTP IP HERE> --dport 25 -j ACCEPT
iptables -I FORWARD -o <OUTGOING IF> -i <INGOING IF> -p tcp -d <SMTP IP HERE> --dport 25 -j ACCEPT
Просто добавьте правильные имена интерфейсов брандмауэра. Причина этого довольно проста: IP-адреса могут быть легко подделаны, но, конечно, Вы не можете так легко подделать физический интерфейс, на который приходит или уходит трафик. Кроме того, правила мне кажутся вполне нормальными. Просто попробуйте, работает ли оно так, как вы задумывали, и посмотрите, есть ли какое-нибудь неожиданное поведение.
Greatings, Darth Ravage
.] Если ваша политика по умолчанию для цепочки FORWARD ПРИНИМАЮТСЯ:[
] [iptables -I FORWARD -p tcp --dport 25 -o [outgoing iface] -s ! [internal smtp ip] \
-m state --state NEW -j DROP
]В идеале ваша политика по умолчанию должна быть установлена на DROP. Это потребует, чтобы вы разрешали только тот трафик, который вам нужен, все, что вы специально не разрешаете, будет запрещено.[
] [iptables -P FORWARD DROP # set FORWARD policy to DROP
iptables -I FORWARD -o [outgoing iface] -s [internal smtp ip] \
-m state --state NEW,ESTABLISHED -j ACCEPT
] Вы всегда должны включать состояние TCP в свои правила []-m state --state[], и если вы используете таблицу FORWARD, вам нужно определить направление правила, используя опцию входящего/исходящего интерфейса, []-i[] & []-o[]. Без определения входящего или исходящего интерфейса эти правила будут неоднозначны и не будут применяться к определенному направлению. [