したがって、VPS環境を使用するときは、デフォルトでアウトバウンドSMTP(スパマー)をブロックし、必要に応じてブロックを解除できる必要があります。
次のスクリプトが見つかりました。
iptables -I FORWARD 1 -d $VPS_IP -p tcp -m tcp --dport 25 -j DROP
iptables -I FORWARD 1 -s $VPS_IP -p tcp -m tcp --dport 25 -j DROP
そして
iptables -I FORWARD -p tcp --sport 25 -j DROP
iptables -I FORWARD -p tcp --dport 25 -j DROP
ただし、最初の制御セットによるブロックは非効率的であり、特にIP範囲が変更される可能性がある場合はさらにそうです。
したがって、問題は、セット2(空のブロック)を使用する場合に特定のIPをどのように許可できるかということです。 OUTPUTチェーンに何かを追加する必要があるようですが、ブランケットブロックは最初に処理されませんか?それともFORWARDに追加すると、ブランケットブロックがチェーンの下にあるので、最初に移動しませんか?など..
iptables -Lは次のとおりです。
[root@server ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
SOLUSVM_TRAFFIC_IN all -- anywhere anywhere
SOLUSVM_TRAFFIC_OUT all -- anywhere anywhere
all -- somedomain anywhere
all -- anywhere somedomain
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain SOLUSVM_TRAFFIC_IN (1 references)
target prot opt source destination
all -- anywhere somedomain
Chain SOLUSVM_TRAFFIC_OUT (1 references)
target prot opt source destination
all -- somedomain anywhere
ありがとうございます! (回答がない場合は、採用発表等がCoderに掲載されます)
ベストアンサー1
挿入コマンドを使用して、ブロックルールの前にルールを追加できます。ただし、インターネットに電子メールを送信するサーバーは1つまたは2つだけでなければなりません。必要に応じて、ホストにファイアウォールルールを追加して、メールサーバーのみが電子メールを送信できるようにします。これにより、ボットを無効にするか、少なくとも問題を記録して追跡する機能を提供する必要があります。
送信メールサーバーを設定し、他のすべてのサーバーがインターネットに電子メールを送信するのをブロックすることをお勧めします。このメールサーバーをネットワーク上のすべてのホストの発信メール転送エージェント(MTA)として使用します。 rDNS、SPFなどを使用して正しく設定してください。電子メールを送信しないドメインには、「-all」ポリシーを含むSPFレコードが必要です。私のメモを見てSPFでEメールレピュテーションを保護します。
代わりにメッセージを送信するドメインを制限するようにメールサーバーを設定します。私はEximのACL機能がこの作業に非常に効果的であることを知りました。大量の電子メールの送信を防ぐために制限ルールをインストールすることもできます。