ネットワーク外ではすべてのSMTPをブロックしようとしていますが、内部メールサーバーアドレスではブロックしようとしません。
それで、私が見逃したものがあるのか、私のメールサーバーの現在のiptableルールを改善できるのか疑問に思います。
iptables -I FORWARD -p tcp --dport 25 -j DROP
iptables -I FORWARD -p tcp --dport 25 -j LOG --log-prefix "FORWARD-SMTP-DROP: "
iptables -I FORWARD -p tcp -s <SMTP IP HERE> --dport 25 -j ACCEPT
iptables -I FORWARD -p tcp -d <SMTP IP HERE> --dport 25 -j ACCEPT
iptables -I OUTPUT -p tcp -m multiport --dport 25,465,587 -s ! <SMTP IP HERE> -j DROP
iptables -I OUTPUT -p tcp -m multiport --dport 25,465,587 -s ! <SMTP IP HERE> -j LOG --log-prefix "OUTPUT-SMTP-DROP: "
よろしくお願いします:)
ベストアンサー1
iptables標準ポリシーがFORWARDチェーンにある場合は、DROP
最初の行を削除できます。また、セキュリティを強化するために、ライン3と4にsmtpトラフィックの着信および発信インターフェイスを追加することもできます。
iptables -I FORWARD -o <OUTGOING IF> -i <INGOING IF> -p tcp -s <SMTP IP HERE> --dport 25 -j ACCEPT
iptables -I FORWARD -o <OUTGOING IF> -i <INGOING IF> -p tcp -d <SMTP IP HERE> --dport 25 -j ACCEPT
ファイアウォールの正しいインターフェイス名を追加するだけです。理由は簡単です。 IPアドレスは簡単になりすましますが、トラフィックが入って来る物理インターフェイスは簡単になりすましできないためです。それ以外はルールが大丈夫そうです。期待どおりに動作するか、予期しない動作があるかどうかを確認してください。
偉大なダースラビーチ