Eu tenho um servidor rodando o CentOS 5.5 e agindo como um host OpenVZ. Um dos contêineres enviou spam e preciso bloquear sua capacidade de conexão com a porta de saída 25. Analisamos o link , mas esta configuração é para evitar o tráfego de ENTRADA e eu não encontrei uma regra IPTABLES que impedia que um endereço IP específico se conectasse a uma porta OUTBOUND.
Eu tentei:
iptables -I OUTPUT --source [CONTAINER_IP] --protocol tcp --destination-port 25 -j DROP
mas isso não parece realmente bloqueá-lo. Qualquer ideia seria apreciada.
A tabela OUTPUT é usada para enviar tráfego originado do host. Com a virtualização, não tenho certeza se o tráfego usa a cadeia OUTPUT ou como está sendo roteado de um dispositivo virtual através do host, ele pode usar a cadeia FORWARD. Tente substituir o OUTPUT por FORWARD na sua regra.
A resposta de Kyle Smith está correta com um pequeno aviso: esta regra deve ser colocada antes de qualquer outra regra FORWARD:
iptables -L
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP tcp -- [CONTAINER_IP] anywhere tcp dpt:smtp
RH-Firewall-1-INPUT all -- anywhere anywhere
/etc/sysconfig/iptables
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
/* Block outgoing 25 port for containers */
-A FORWARD -p tcp --destination-port 25 -s [CONTAINER_IP] -j DROP
/* Main config */
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT