LINUX.ORG.RU

Как запретить выход всех в интернет и оставить при этом только почту?


0

0

Народ! Помогите! Велено прикрыть www и ftp, но некоторым машинам оставить почту. Ядро 2.2.16, ipchains.
Пишем цепочки типа
ipchains -A forward -p tcp -s 192.168.0.0 pop-3 -j ACCEPT,
цепочка проходит, по трафшоу вижу что машины туда обращаються.
А вот обратно оно не проходит -- почтовые клиенты молчат!
Вроде как напрашивается еще одна цепочка для входящих сообщений, но
в хоу-то про это не написано.
Выручайте!!!

anonymous

icmp-пакеты пропускаешь? Если нет - то клиент с сервером сосвистеться не могут...

Zulu ★★☆☆
()

ipchains -A input -s 192.168.0.0/24-j ACCEPT
ipchains -A forward -s 192.168.0.0/24-j ACCEPT
ipchains -A forward -p tcp -s 192.168.0.0/24 110:110 -j MASQ
ipchains -A forward -p tcp -s 192.168.0.0/24 25:25 -j MASQ
ipchains -A output -p tcp -s 192.168.0.0/24 -j ACCEPT

кажется так. 110 порт - pop-3, 25 порт - smtp. Удачи!

Ale
()

ipchains -F #стираем предыдущие правила
ipchains -P input REJECT #запрещаем принимать все
ipchains -A input -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT #разрешаем принимать внутренние пакеты
#ipchains -A input -s 192.168.0.30 -d 0/0 -j ACCEPT #любим машину 192.168.0.30 и разрешаем ей все
ipchains -A input -p icmp -s 0/0 -d 0/0 -j ACCEPT #нужно для DNS
ipchains -A input -p tcp -s 192.168.0.0/16 -d 0/0 25 -j ACCEPT #smtp
ipchains -A input -p tcp -s 192.168.0.0/16 -d 0/0 53 -j ACCEPT #DNS
ipchains -A input -p tcp -s 192.168.0.0/16 -d 0/0 110 -j ACCEPT #POP3
ipchains -A input -p tcp -s 0/0 -d 0/0 1024: -j ACCEPT #принимаем все на порты с 1024 tcp
ipchains -A input -p udp -s 0/0 -d 0/0 1024: -j ACCEPT #принимаем все на порты с 1024 udp
ipchains -A forward -s 192.168.0.0/16 -d ! 192.168.0.0/16 -j MASQ #включаем маскарадинг

anonymous
()

упс! в догонку! это работает у меня и написано по материалам этого форума :))) Спасибо тому автору. Чтоб любить машину 192.168.0.30 надо раскоментировать ту строчку :)))

anonymous
()

в догонку опять! набейте правила в файл и сделаейте его запускаемым. Иначе если начнете набирать по одной строчке и с удаленного терминала -- после набора второй строчки вас отключат нахрен и придется уныло тащиться к серверу %)))

anonymous
()

А вот хрен! непроходят обращения к ДНС! Как ?!!!!

anonymous
()

во! добил! но один фиг при отправке почты с майл.ру на местную почту
ругается что server reply ***@***.ru prohibited by administrator
ipchains -F #стираем предыдущие правила
ipchains -P input REJECT #запрещаем принимать все
ipchains -A input -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT #разрешаем принимать внутренние пакеты
#ipchains -A input -s 192.168.0.30 -d 0/0 -j ACCEPT #любим машину WIPE и разрешаем ей все
ipchains -A input -p icmp -s 0/0 -d 0/0 -j ACCEPT #нужно для нормальной работы сети
ipchains -A input -p tcp -s 192.168.0.0/16 -d 0/0 25 -j ACCEPT #smtp
ipchains -A input -p tcp -s 192.168.0.0/16 -d 0/0 53 -j ACCEPT #DNS
ipchains -A input -p tcp -s 192.168.0.0/16 -d 0/0 110 -j ACCEPT #POP3
ipchains -A input -p tcp -s 0/0 -d 0/0 1024: -j ACCEPT #принимаем все на порты с 1024 tcp
ipchains -A input -p tcp -s 0/0 -d 0/0 53 -j ACCEPT # это вот и есть dns
ipchains -A input -p udp -s 0/0 -d 0/0 53 -j ACCEPT # это тоже днс
ipchains -A input -p udp -s 0/0 -d 0/0 1024: -j ACCEPT #принимаем все на порты с 1024 udp
ipchains -A forward -s 192.168.0.0/16 -d ! 192.168.0.0/16 -j MASQ #включаем маскарадинг


anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.