Как разрешить почту через iptables?
Я защищаю свой сервер (с помощью iptables), так что открыты только порты http и ssh, и это нормально, хотя я использую команду mail (server: CentOS 6.2) в некоторых приложениях, и она не проходит теперь благодаря iptables блокирует все.
В каких портах я могу разрешить доступ к нему?
Использование почты: echo "{{message}}" | mail -s "{{subject}}" [email protected]
Я пробовал стандартный почтовый порт 25, но я не имел успеха с этим.
Вот текущая настройка:
iptables --flush
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# incoming ssh
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
# outgoing ssh
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
#HTTP
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
# mail (does not work)
iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT
(EDIT) ОТВЕТ: Правило рабочих iptables:
iptables -A OUTPUT -o eth0 -p tcp --sport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT
Ответы
Ответ 1
Команды OUTPUT также должны ссылаться на --dport, а не --sport. Вы также захотите разрешить исходящие пакеты NEW, чтобы инициировать подключение к SMTP-серверу.
В общем, однако, поскольку OUTPUT управляет только теми пакетами, которые генерирует ваша собственная система, вы можете установить политику OUTPUT на ACCEPT, если вам не нужно предотвращать создание исходящих пакетов.
Еще два комментария:
1. Предложение Jay D "разрешить все, а затем начать блокировать определенный трафик" небезопасно. Никогда не настраивайте iptables таким образом, потому что вам нужно заранее знать, какие порты злоумышленник может использовать и заблокировать их отдельно. Всегда используйте белый список вместо черного списка, если сможете.
2. Подсказка из траншей: когда вы отлаживаете iptables, это часто полезно для -I nsert и -A сообщений журнала ppend в начале и конце каждой цепочки, затем очистите счетчики и выполните эксперимент. (В вашем случае выполните команду mail.) Затем проверьте счетчики и журналы, чтобы понять, как пакеты мигрировали по цепочкам и где они, возможно, были удалены.
