会社のネットワークから個人の電子メールをブロックするために、およびをFORWARD
ブロックしました。これらのアドレスを解決する方法は次のとおりです。mail.google.com
mail.live.com
iptables
$ sudo iptables -L
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Mail-Forward-Block all -- anywhere anywhere
Chain Mail-Forward-Block (2 references)
target prot opt source destination
REJECT all -- anywhere lhr14s24-in-f5.1e100.net reject-with icmp-port-unreachable
REJECT all -- anywhere lhr08s07-in-f5.1e100.net reject-with icmp-port-unreachable
REJECT all -- anywhere origin.du113w.dub113.mail.live.com reject-with icmp-port-unreachable
REJECT all -- anywhere origin.du114w.dub114.mail.live.com reject-with icmp-port-unreachable
nslookup
比較のために(192.168.0.10
Sambaは内部DNSを実行してクエリを渡しますか8.8.8.8
?):
$ nslookup mail.google.com
Server: 192.168.0.10
Address: 192.168.0.10#53
Non-authoritative answer:
mail.google.com canonical name = googlemail.l.google.com.
Name: googlemail.l.google.com
Address: 216.58.208.69
$ nslookup mail.live.com
Server: 192.168.0.10
Address: 192.168.0.10#53
Non-authoritative answer:
mail.live.com canonical name = dispatch.kahuna.glbdns2.microsoft.com.
Name: dispatch.kahuna.glbdns2.microsoft.com
Address: 157.56.195.156
Name: dispatch.kahuna.glbdns2.microsoft.com
Address: 157.55.235.51
明らかにそれは何も止まらなかった。同じルールを再追加すると、iptable
アドレスは同じになりますnslookup
。しかし、なぜそのような違いがあるのでしょうか?iptable
リバースDNS検索を実行して、そのドメインと一致することを確認できませんか?
ベストアンサー1
短い答え:いいえ。 iptables
ルールはドメイン名ではなくIPアドレスに影響します。これがまさにiptablesと呼ばれる理由です。
iptables が動作するネットワーク層では、ドメイン名は本質的には関係ありません。 iptables ルールでドメイン名を使用すると、DNS ルックアップが実行され、ドメイン名が IP アドレスとして解決され、特定の瞬間の IP アドレスがルールに使用されます。ドメインが更新され、A レコードが別の IP を指す場合、iptables は変更を認識しません。
やりたいこと(Gmailなどの特定のウェブサイトをブロックする)を使用するのが最善です。これにより、ネットワーク使用量を記録および監視でき、許可/拒否リストを管理するのに役立つsquid
いくつかの追加機能があります。squidguard
外部smtpへのアクセスをブロックするには、関連するポート(25、465、587など)をブロックして、ネットワーク上のローカルコンピュータがメールを制御できるローカルsmtpゲートウェイを使用するようにします。