Bloqueie o tráfego de porta 25 de portas de IPs específicos no host openvz

1

Eu tenho um servidor rodando o CentOS 5.5 e agindo como um host OpenVZ. Um dos contêineres enviou spam e preciso bloquear sua capacidade de conexão com a porta de saída 25. Analisamos o link , mas esta configuração é para evitar o tráfego de ENTRADA e eu não encontrei uma regra IPTABLES que impedia que um endereço IP específico se conectasse a uma porta OUTBOUND.

Eu tentei:
iptables -I OUTPUT --source [CONTAINER_IP] --protocol tcp --destination-port 25 -j DROP
mas isso não parece realmente bloqueá-lo. Qualquer ideia seria apreciada.

    
por John P 08.06.2011 / 15:46

2 respostas

3

A tabela OUTPUT é usada para enviar tráfego originado do host. Com a virtualização, não tenho certeza se o tráfego usa a cadeia OUTPUT ou como está sendo roteado de um dispositivo virtual através do host, ele pode usar a cadeia FORWARD. Tente substituir o OUTPUT por FORWARD na sua regra.

    
por 08.06.2011 / 15:58
0

A resposta de Kyle Smith está correta com um pequeno aviso: esta regra deve ser colocada antes de qualquer outra regra FORWARD:

iptables -L

Chain FORWARD (policy ACCEPT)

target prot opt source destination

DROP tcp -- [CONTAINER_IP] anywhere tcp dpt:smtp

RH-Firewall-1-INPUT all -- anywhere anywhere

/etc/sysconfig/iptables

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

:RH-Firewall-1-INPUT - [0:0]

/* Block outgoing 25 port for containers */

-A FORWARD -p tcp --destination-port 25 -s [CONTAINER_IP] -j DROP

/* Main config */

-A INPUT -j RH-Firewall-1-INPUT

-A FORWARD -j RH-Firewall-1-INPUT

    
por 09.06.2011 / 12:24