iptables e protegendo um smtp

Navegue suas respostas
0

Estou tentando bloquear todo o SMTP da minha rede, que não é do meu endereço interno do servidor de e-mail.

Então, gostaria apenas de saber se poderia haver algo que esteja faltando ou algo que eu possa melhorar nas minhas regras de iptable atuais para o meu servidor de e-mail. 

iptables -I FORWARD -p tcp --dport 25 -j DROP
iptables -I FORWARD -p tcp --dport 25 -j LOG --log-prefix "FORWARD-SMTP-DROP: "
iptables -I FORWARD -p tcp -s <SMTP IP HERE> --dport 25 -j ACCEPT
iptables -I FORWARD -p tcp -d <SMTP IP HERE> --dport 25 -j ACCEPT

iptables -I OUTPUT -p tcp -m multiport --dport 25,465,587 -s ! <SMTP IP HERE> -j DROP
iptables -I OUTPUT -p tcp -m multiport --dport 25,465,587 -s ! <SMTP IP HERE> -j LOG --log-prefix "OUTPUT-SMTP-DROP: "

Agradecemos antecipadamente:)

    
por Woblix 04.07.2014 / 09:54

2 respostas

2

Se sua política padrão de iptables na cadeia FORWARD for DROP , você poderá remover a primeira linha. Adicionalmente (para mais segurança) você pode adicionar as interfaces de entrada e saída do tráfego smtp para a linha 3 e 4. 

iptables -I FORWARD -o <OUTGOING IF> -i <INGOING IF> -p tcp -s <SMTP IP HERE> --dport 25 -j ACCEPT
iptables -I FORWARD -o <OUTGOING IF> -i <INGOING IF> -p tcp -d <SMTP IP HERE> --dport 25 -j ACCEPT

Basta adicionar os nomes de interface corretos do firewall. A razão para isso é bastante simples: Endereços IP podem ser facilmente falsificados, mas é claro que você não pode facilmente falsificar a interface física em que o tráfego está entrando ou saindo. Além disso, as regras parecem bem para mim. Apenas tente se funcionar como você quis que funcione e veja se há algum comportamento inesperado.

Greatings, Darth Ravage

    
por 04.07.2014 / 10:37
0

Se a sua política padrão para a cadeia FORWARD for ACCEPT: 

iptables -I FORWARD -p tcp --dport 25  -o [outgoing iface]  -s ! [internal smtp ip] \ 
-m state --state NEW -j DROP

Idealmente, sua política padrão deve ser definida como DROP. Isso só vai exigir que você permita o tráfego que você quer, tudo que você não permitir especificamente será negado. 

iptables -P FORWARD DROP  # set FORWARD policy to DROP
iptables -I FORWARD -o [outgoing iface] -s [internal smtp ip] \
-m state --state NEW,ESTABLISHED -j ACCEPT

Você deve sempre incluir o estado TCP em suas regras -m state --state e, se estiver usando a tabela FORWARD, precisará definir a direção de uma regra usando a opção de interface de entrada / saída, -i & %código%. Sem definir uma interface de entrada ou saída, essas regras serão ambíguas e não se aplicarão a uma determinada direção.

    
por 05.07.2014 / 06:41

Tags

Como sair do script na sessão ssh? Meu servidor Centos não pode resolver o nome do host DNS [fechado]