iptables - sendmail envia apenas

1

Eu dei uma olhada e tentei várias coisas.

Se eu quiser que um servidor (centos) só possa enviar e-mails (notificações para mim), mas não tenha nenhum outro acesso à Internet para dentro ou para fora, então quais são os iptables.

Eu tentei isso, mas não funciona, só envia um email quando o iptables está parado.

   iptables -A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
   iptables -A INPUT -p udp -m tcp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
   iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
   iptables -A OUTPUT -p tcp --sport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
   iptables -A INPUT -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT
   iptables -A INPUT -p tcp --dport 25 -m state --state ESTABLISHED -j ACCEPT
   iptables -A INPUT -p tcp -m tcp -j REJECT

Alguma ajuda / conhecimento?

O log do Sendmail mostra: stat = Deferred: Conexão recusada por [127.0.0.1] quando o iptables está ativo

Atualização: As regras a seguir parecem funcionar:

   iptables -A INPUT  -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
   iptables -A OUTPUT  -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT
   iptables -A INPUT -p tcp -m tcp -j REJECT
    
por CHinAU 14.04.2013 / 07:16

1 resposta

0

O Sendmail-8.12 + passa "emails de linha de comando" via 127.0.0.1:25. Ele faz isso para evitar ser instalado como set root uid.

Você pode fazer o sendmail aceitar a conexão SMTP de entrada somente em 127.0.0.1 (interfaces de loopback). Deve bloquear conexões SMTP externas de entrada.
Adicione a seguinte linha ao sendail.mc e recopile-o em sendmail.cf [1] :

DAEMON_OPTIONS('Addr=127.0.0.1,Port=smtp,Name=MTA')

Você também pode tentar as seguintes regras do iptables:

iptables -A INPUT -p tcp --dport 25 -d 127.0.0.1 -i lo -m state --state NEW,ESTABLISHED -j ACCEPT 
iptables -A INPUT -p tcp --dport 25 -m state --state NEW -j REJECT 
iptables -A INPUT -p tcp --dport 25 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp -j REJECT
    
por 14.04.2013 / 09:51