Como eu permito todos os IPs possíveis para servidores do Gmail através do meu firewall ufw?

Question

Como eu permito todos os IPs possíveis para servidores do Gmail através do meu firewall ufw?

#1 resposta do ish (6 votos)
#2 resposta do dinnouti (2 votos)

4

No momento, estou usando a seguinte regra:

ufw allow out from my_local_ip to any port 587

Isso é um pouco relaxado para o meu gosto. Eu gostaria de restringi-lo e restringi-lo apenas aos endereços IP do servidor smtp do gmail, mas eles estão sempre mudando. Eu costumava esperar até que um email de saída não chegasse ao seu destino, então verifiquei o syslog para o endereço IP que estava bloqueado, e então adicionei isso ao script de configuração do ufw. No entanto, agora eu preciso de muito mais confiabilidade.

Existe alguma maneira de usar o smtp.gmail.com no ufw? Acho que não, mas pensei em perguntar. Alguma outra ideia? Obrigado.

Atualizar

Tomando a sugestão da izx, obtive as seguintes informações (abreviadas) de whois:

$ whois 74.125.53.108

...

NetRange: 74.125.0.0 - 74.125.255.255

CIDR: 74.125.0.0/16

...

Usando esta informação eu criei o seguinte comando no meu script de configuração do ufw (eu sei que existem outros intervalos para abrir, isto é apenas um exemplo):

ufw allow out from 192.168.2.5 to 74.125.0/24.0/24 port 587

mas ufw não gosta disso. Então eu mudei para:

ufw allow out from 192.168.2.5 to 74.125.0.0/24 port 587

este ufw aceito, mas obviamente isso só irá bloquear qualquer endereço neste intervalo com 0 como o terceiro octeto. Então, como obtenho de 0-255 para o terceiro octeto também?

dns iptables firewall ufw gmail

por nomadicME 04.06.2012 / 05:36

2 respostas

2

O comando a seguir retornará alguns domínios:

nslookup -q=TXT _spf.google.com 8.8.8.8

Execute um nslookup para cada um:

nslookup -q=TXT _netblocks.google.com 8.8.8.8
nslookup -q=TXT _netblocks2.google.com 8.8.8.8
nslookup -q=TXT _netblocks3.google.com 8.8.8.8

De: link

por dinnouti 26.06.2013 / 11:49

Tags dns iptables firewall ufw gmail

como esconder o diretório oculto no cliente ftp Anbox não está iniciando no meu PC em tudo

score 6 · Accepted Answer

Você precisa de um script que resolva periodicamente o domínio e atualize as regras de firewall com o IP mais recente. Em vez disso, tente este método:

Domínios como esses geralmente têm vários IPs associados a eles. Use host domain.tld para obter uma lista:

$ host smtp.gmail.com
smtp.gmail.com is an alias for gmail-smtp-msa.l.google.com.
gmail-smtp-msa.l.google.com has address 74.125.127.108
gmail-smtp-msa.l.google.com has address 74.125.127.109

Mas esses dois provavelmente também continuam mudando, com base na sua pergunta. Portanto, é melhor colocar na lista de permissões todo o netblock - use whois com o IP :

$ whois 74.125.127.108

NetRange:       74.125.0.0 - 74.125.255.255
CIDR:           74.125.0.0/16
OriginAS:       
NetName:        GOOGLE
NetHandle:      NET-74-125-0-0-1
Parent:         NET-74-0-0-0-0
NetType:        Direct Allocation
RegDate:        2007-03-13
Updated:        2012-02-24
Ref:            http://whois.arin.net/rest/net/NET-74-125-0-0-1
...

O NetRange / CIDR informa a lista de permissões - 74.125.0.0/16. O Google poderia atribuir qualquer IP nesse intervalo para smtp.gmail.com