кроме локальной машины
eth0

Локальные соединения ходят через lo.

Правила для транзитного трафика пишутся в FORWARD, а не в OUTPUT

Локальные соединения ходят через lo.

т.е. вот так:

-A OUTPUT -p tcp -i lo --dport 25 -j DROP
-A OUTPUT -p tcp -i lo -m owner ! --uid-owner 89 --dport 25 -j DROP

Правила для транзитного трафика пишутся в FORWARD, а не в OUTPUT

можете показать, как должно выглядеть такое правило?

Например, чтобы дропнуть пакеты, идущие на 25 порт из сети 192.168.0.0/24:

iptables -A FORWARD -p tcp --dport 25 -s 192.168.0.0/24 -j DROP

iptables -A FORWARD -p tcp --dport 25 -j DROP

Есть полезная картинка на этот счёт: https://upload.wikimedia.org/wikipedia/commons/3/37/Netfilter-packet-flow.svg

Например, чтобы дропнуть пакеты, идущие на 25 порт из сети 192.168.0.0/24

А если мне нужно на локальной машине дропнуть все пакеты, которые идут наружу на 25 порт, кроме только определенного пользователя, а именно posftix. Другими словами говоря, нужно оградить дрянь, которую залили на сайт, которая отправляет сообщения на другие почтовики на прямую, не через postfix с локальной машины. Дрянь, которая это делает найти не удается.

А, ну тогда в OUTPUT. Значит, я не так понял.

А, ну тогда в OUTPUT. Значит, я не так понял.

-A OUTPUT -p tcp -i lo --dport 25 -j DROP
-A OUTPUT -p tcp -i lo -m owner ! --uid-owner 89 --dport 25 -j DROP

вот такие правила будут правильными, или можно что-то лучше придумать?

А зачем указывать IP адрес сервера?

вот такие правила будут правильными, или можно что-то лучше придумать?

Нет, в OUTPUT нельзя использовать опцию -i

А зачем указывать IP адрес сервера?
Нет, в OUTPUT нельзя использовать опцию -i

Т.е. в одно правильно можно уложиться, вот так:

-A OUTPUT -p tcp -o eth0 -m owner ! --uid-owner 89 --dport 25 -j DROP

-A OUTPUT -p tcp -m owner ! --uid-owner 89 --dport 25 -j 

Я не совсем понимаю, что нужно сделать. Надо разрешить подключения наружу только постфиксу? Тогда так:

iptables -A OUTPUT -p tcp ! -o lo -m owner ! --uid-owner 89 --dport 25 -j DROP

Запутали вы меня своим сообщением. Необходимо разрешить исходящий smtp трафик в мир только от одного пользователя? Если так, то:

iptables -A OUTPUT -o eth0 -p tcp --sport 25 -m owner --uid-owner 89 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 25 -j REJECT

-A OUTPUT -p tcp -m owner ! --uid-owner 89 --dport 25 -j

Это правило дропнет локальные пакеты до постфикса

iptables -A OUTPUT -o eth0 -p tcp --sport 25 -j REJECT

А при чём здесь sport? Он явно будет случайным от веб приложений.

Да, верно --dport должно быть.

Я не совсем понимаю, что нужно сделать. Надо разрешить подключения наружу только постфиксу? Тогда так

Да, именно для этого, чтобы только постфикс мог отправлять пакеты наружу на 25 порт. Большое спасибо, работает это правило. Спасибо за ответы.

Общие рекомендации

Чтобы не ломать мозг ни себе, ни парсеру конфигов, есть два простых правила:
1) Минимизировать использование отрицаний
2) Заворачивать трафик в цепочки (chains).

Готовые правила писать лень.

Здравствуйте!

Теперь небольшое лирическое отступление на тему «Как настроить iptables». Для целей защиты при работе в интернет добрые программисты «запилили» в Линукс фаейрвол iptables. Он быстр, надежен и бесплатен, однако, мало кто им пользуется по причине сложной и запутанной настройки. Интернет-издание Либератум первым в мире предлагает простой конфиг. «Скопипастил», запустил, забыл.

Далее читайте, пожалуйста, тут: http://liberatum.ru/blog/iptables-linux-secure

Замечание от меня: я запускаю этот скрипт из bash.