Тестирование Почта iptables

0

2

Доброе утро.

Проходил тестирование и меня смутил один вопрос.:

Какие из представленных ниже строк правил для iptables, на шлюзе, запретят выход smtp трафика из вашей сети. (МОЖНО указать несколько ответов)
1)iptables -A OUTPUT -p smtp -j DROP
2)iptables -A FORWARD -p tcp -sport 25 -j DROP
3)iptables -A OUTPUT -p tcp --dport 25 -j REJECT --reject-with tcp-reset
4)iptables -A FORWARD -s 0.0.0.0 -d 0.0.0.0 -p smtp -j DENY
5)iptables -A OUTPUT -p tcp --dport 25 -j DROP

Думая логически я сразу начал смотреть цепочки FORWARD так как это транзитный трафик. В параметре -p в качестве протокола вроде как можно указывать только протоколы транспортного уровня и ниже, да и действия DENY вроде как не существует. Значит остается только 2 ответ. Но там параметр --sport с одним тире. Но вроде бы только он подходит.

Я ошибаюсь ? В последних версиях iptables что-то поменялось ?

Ссылка

←	asterisk vpn nat нет звука во входящих

cp двойные пробелы

→

Возможно опечатка.

sin_a ★★★★★
(07.12.13 08:55:36 MSK)

Ссылка

2 вариант, если там правильно поставить --, запретит машинам из локальной сети слать пакеты _с_ 25 порта, а не _на_.

Мимо правил с OUTPUT всегда пройдет транзитный трафик.

Похоже, что ни один вариант не подходит.

А правописание слова iptables на этом тестировании тоже спрашивают?

pianolender ★★★
(07.12.13 09:44:08 MSK)

Вариант 2 правильный, если в сети есть релей, который шлёт с 25 (поправьте меня, если что) порта. Если нет - то нет ни одного правильного варианта.

anton_jugatsu ★★★★
(07.12.13 11:33:00 MSK)

Ссылка

Правильного варианта ответа нет.

BOOBLIK ★★★★
(07.12.13 12:00:28 MSK)

Ссылка

Смотря что понимать под «запретят выход smtp трафика из вашей сети». Правило N2 (с учётом поправки на --) не запретит, собственно, отправку запросов на 25 порт, но поломает обмен: ответы не пройдут.

AS ★★★★★
(07.12.13 16:12:52 MSK)

Ответ на: комментарий от AS 07.12.13 16:12:52 MSK

Смотря что понимать под «запретят выход smtp трафика из вашей сети». Правило N2 (с учётом поправки на --) не запретит, собственно, отправку запросов на 25 порт, но поломает обмен: ответы не пройдут.

Ну да, выход то не будет заблокирован. А вот ответы от сервера не пройдут.
Ну это я итак знал. Я просто думал, вдруг в iptables что-то поменялось (цепочки по которым идет транзитный трафик).

Всем спасибо за ответы.

demsi ★
(07.12.13 20:12:27 MSK) автор топика

Ссылка

Ответ на: комментарий от pianolender 07.12.13 09:44:08 MSK

вариант, если там правильно поставить --, запретит машинам из локальной сети слать пакеты _с_ 25 порта, а не _на_.

Да но, ответы от сервера с 25 порта не пройдут. Следовательно получить почту не удастся.

Но все же я соглашусь что в вопросе то написано

запретят выход smtp трафика из вашей сети

А при данном правиле трафик smtp из сети выходить будет.

demsi ★
(07.12.13 20:16:21 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	asterisk vpn nat нет звука во входящих

Admin

cp двойные пробелы

→

Похожие темы