Tillate epost på iptables, Ikke server

[DJViking]

Noen som er god på bruk av iptables som kan fortelle meg hvordan jeg skal sette opp for vanlig bruk av epost(POP, SMTP) rett. Jeg har ikke noe epost server av noe slag(som jeg vet om(sendmail?)).

 

Jeg vil ikke ha noe slags server forespørsler om epost(serverside POP og SMTP)

 

Dette har jeg satt opp. Lar meg sende forespørsel på POP og hente ned epost fra POP server, samt sende ut epost via SMPT

 

#Tillat sende forespørsel og motta epost ved POP

iptables -A OUTPUT -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT

#Tillat sending, men ikke motta epost ved SMTP

iptables -A OUTPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT

 

Kanskje slikt(Ingen skal sende meg noe epost):

iptables -A INPUT -p tcp --dport 25 -m state --state NEW -j DROP

[DJViking]

Var vist noe problem med denne posten til og begynne med.. Fikk ikke med selve teksten... Men nå er den på plass. For de som så på denne og kanskje hadde noe å si, men kunne ikke svare fordi det ikke var noe å svare på, kan nå lese teksten...

[Bad_Byte]

#Tillat sende forespørsel og motta epost ved POP

iptables -A OUTPUT -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT

#Tillat sending, men ikke motta epost ved SMTP

iptables -A OUTPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT

 

Kanskje slikt(Ingen skal sende meg noe epost):

iptables -A INPUT -p tcp --dport 25 -m state --state NEW -j DROP

De ser greie ut de, men viss default er accept så trenger du ikke de 3 første regelene

 

Sånn ser min iptables ut, de accept'ene er med for å forsikkre om at localhost har tilgang mens resten ikke har tilgang til de tjenestene, de regelene kunne sikkert vært bedre lagd/skrevet men for mitt bruk så holder det

# iptables --list
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  localhost            anywhere            tcp dpt:imap2
REJECT     tcp  --  anywhere             anywhere            tcp dpt:imap2 reject-with icmp-port-unreachable
ACCEPT     tcp  --  localhost            anywhere            tcp dpt:mysql
REJECT     tcp  --  anywhere             anywhere            tcp dpt:mysql reject-with icmp-port-unreachable
REJECT     tcp  --  anywhere             anywhere            tcp dpt:smtp reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
#

 

 

 

Edit: D'oh! / typo / skrive leif

Endret 2. september 2004 av Bad_Byte

[DJViking]

Jeg har defualt DROP. Bedre sikkerhet slikt. Da kan du bare slå på det du trenger...

 

Dette er da mitt oppsett

 

# All trafikk skal i utgangspunktet ikke komme gjennom

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

 

ICMP

# Trafikk initiert av deg tillates

iptables -A INPUT -p icmp -j ACCEPT

# Ingen skal kunne initiere imcp trafikk mot deg.

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

# Ikke svar på icmp trafikk.

iptables -I OUTPUT 1 -p icmp --icmp-type echo-reply -j DROP

 

DNS

# Tillat dns trafikk initiert av deg.

iptables -A OUTPUT -p udp -d 128.39.140.7 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -p udp -s 128.39.140.7 --sport 53 -m state --state ESTABLISHED -j ACCEPT

 

WEB

# Tillat web trafikk

iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

#Med Web-tjener

iptables -A INPUT -p tcp --dport 80 ! --syn -j ACCEPT

 

EPOST

#Tillat sende forespørsel og motta epost POP

iptables -A OUTPUT -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT

#Tillat sending, men ikke mottat epost SMTP

iptables -A OUTPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT

Endret 2. september 2004 av DJViking