LINUX.ORG.RU
решено ФорумAdmin

Тестирование Почта iptables

 ,


0

2

Доброе утро.

Проходил тестирование и меня смутил один вопрос.:

Какие из представленных ниже строк правил для iptables, на шлюзе, запретят выход smtp трафика из вашей сети. (МОЖНО указать несколько ответов)
1)iptables -A OUTPUT -p smtp -j DROP
2)iptables -A FORWARD -p tcp -sport 25 -j DROP
3)iptables -A OUTPUT -p tcp --dport 25 -j REJECT --reject-with tcp-reset
4)iptables -A FORWARD -s 0.0.0.0 -d 0.0.0.0 -p smtp -j DENY
5)iptables -A OUTPUT -p tcp --dport 25 -j DROP

Думая логически я сразу начал смотреть цепочки FORWARD так как это транзитный трафик. В параметре -p в качестве протокола вроде как можно указывать только протоколы транспортного уровня и ниже, да и действия DENY вроде как не существует. Значит остается только 2 ответ. Но там параметр --sport с одним тире. Но вроде бы только он подходит.

Я ошибаюсь ? В последних версиях iptables что-то поменялось ?


Возможно опечатка.

sin_a ★★★★★
()

2 вариант, если там правильно поставить --, запретит машинам из локальной сети слать пакеты _с_ 25 порта, а не _на_.

Мимо правил с OUTPUT всегда пройдет транзитный трафик.

Похоже, что ни один вариант не подходит.

А правописание слова iptables на этом тестировании тоже спрашивают?

pianolender ★★★
()

Вариант 2 правильный, если в сети есть релей, который шлёт с 25 (поправьте меня, если что) порта. Если нет - то нет ни одного правильного варианта.

anton_jugatsu ★★★★
()

Правильного варианта ответа нет.

BOOBLIK ★★★★
()

Смотря что понимать под «запретят выход smtp трафика из вашей сети». Правило N2 (с учётом поправки на --) не запретит, собственно, отправку запросов на 25 порт, но поломает обмен: ответы не пройдут.

AS ★★★★★
()
Ответ на: комментарий от AS

Смотря что понимать под «запретят выход smtp трафика из вашей сети». Правило N2 (с учётом поправки на --) не запретит, собственно, отправку запросов на 25 порт, но поломает обмен: ответы не пройдут.

Ну да, выход то не будет заблокирован. А вот ответы от сервера не пройдут.
Ну это я итак знал. Я просто думал, вдруг в iptables что-то поменялось (цепочки по которым идет транзитный трафик).

Всем спасибо за ответы.

demsi
() автор топика
Ответ на: комментарий от pianolender

вариант, если там правильно поставить --, запретит машинам из локальной сети слать пакеты _с_ 25 порта, а не _на_.

Да но, ответы от сервера с 25 порта не пройдут. Следовательно получить почту не удастся.

Но все же я соглашусь что в вопросе то написано

запретят выход smtp трафика из вашей сети

А при данном правиле трафик smtp из сети выходить будет.

demsi
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.