iptables: spezielle Regel für smtp
Hi, ich möchte mit einer FW "irregulären" smtp-Verkehr loggen, ggf. unterbinden, d.h. alles, was nicht an eine bestimmte IP geht. Ich dachte in etwa iptables -A OUTPUT -p all -o ${OUT} --dport 25 ! -d $MAILHOSTIP -j DROP müßte es tun, mal angenommen ${OUT} ist das DSL-Interface, aktuell dsl0 und $MAILHOSTIP die IP des "reglären" Mailservers. Leider tut das nicht. Wer kann mir einen Schubs in die richtige Richtung geben? THX & cu Jörg -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Joerg Thuemmler schrieb:
Hi,
ich möchte mit einer FW "irregulären" smtp-Verkehr loggen, ggf. unterbinden, d.h. alles, was nicht an eine bestimmte IP geht. Ich dachte in etwa
Basisfrage zum Beispiel - hast du einen "pessimistische" oder eine "optimistische" Firewall laufen ? pessimistisch: alles verboten (DROP) was nicht ausdrücklich erlaubt ist
iptables -A OUTPUT -p all -o ${OUT} --dport 25 ! -d $MAILHOSTIP -j DROP
iptables -A OUTPUT -o eth:out -d $meinmailserver --dport 25 -j ACCEPT -->> alles andere wird weggeworfen, alles gedroppte wird (bei mir) eh geloggt ach ja ..und für -A die Reihenfolge beachten, ggfs mit -I vorher einschieben...es darf keine gültige Regel vorher stehen, die auf die Pakete zutrifft!
müßte es tun, mal angenommen ${OUT} ist das DSL-Interface, aktuell dsl0 und $MAILHOSTIP die IP des "reglären" Mailservers. Leider tut das nicht.
das DS-Interface ist ethxx (= eingebaute Hardeware ) egal ob ein Modem/Router dran ist
Wer kann mir einen Schubs in die richtige Richtung geben?
THX & cu
pse
Jörg
Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 19.11.2012 15:05, schrieb Fred Ockert:
Joerg Thuemmler schrieb:
Hi,
ich möchte mit einer FW "irregulären" smtp-Verkehr loggen, ggf. unterbinden, d.h. alles, was nicht an eine bestimmte IP geht. Ich dachte in etwa
Basisfrage zum Beispiel - hast du einen "pessimistische" oder eine "optimistische" Firewall laufen ?
pessimistisch: alles verboten (DROP) was nicht ausdrücklich erlaubt ist
iptables -A OUTPUT -p all -o ${OUT} --dport 25 ! -d $MAILHOSTIP -j DROP
iptables -A OUTPUT -o eth:out -d $meinmailserver --dport 25 -j ACCEPT
-->> alles andere wird weggeworfen, alles gedroppte wird (bei mir) eh geloggt ach ja ..und für -A die Reihenfolge beachten, ggfs mit -I vorher einschieben...es darf keine gültige Regel vorher stehen, die auf die Pakete zutrifft!
müßte es tun, mal angenommen ${OUT} ist das DSL-Interface, aktuell dsl0 und $MAILHOSTIP die IP des "reglären" Mailservers. Leider tut das nicht.
das DS-Interface ist ethxx (= eingebaute Hardeware ) egal ob ein Modem/Router dran ist
Wer kann mir einen Schubs in die richtige Richtung geben?
THX & cu
pse
Jörg
Fred
Hi, und Danke. Das eth... wird es sein ... checke ich morgen. Meine FW ist "pessimistisch", aber smtp üblicherweise von innen nach außen offen, weil wir den Mailserver unseres Providers nutzen. cu jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Joerg Thuemmler schrieb:
und Danke. Das eth... wird es sein ... checke ich morgen. Meine FW ist "pessimistisch", aber smtp üblicherweise von innen nach außen offen, weil wir den Mailserver unseres Providers nutzen.
naja... aber eben nur diese Mailserver, die es lt mx-record geben muss, oder du lieferst auf dem Submissionport ein. Hier eine ähnliche Konfiguration, aber mit internem Mailrelay. Das Brauche ich eh zum Filtern eingegangener Mails (Virenscan, *.execute Attachments blocken), und das bissel Outgoing-Last kann der mit ab. Zumindest kannst du sehen, ob der Absender gültig ist.
cu jth
Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 19.11.2012 16:51, schrieb Fred Ockert:
Joerg Thuemmler schrieb:
und Danke. Das eth... wird es sein ... checke ich morgen. Meine FW ist "pessimistisch", aber smtp üblicherweise von innen nach außen offen, weil wir den Mailserver unseres Providers nutzen.
naja... aber eben nur diese Mailserver, die es lt mx-record geben muss, oder du lieferst auf dem Submissionport ein.
Hier eine ähnliche Konfiguration, aber mit internem Mailrelay. Das Brauche ich eh zum Filtern eingegangener Mails (Virenscan, *.execute Attachments blocken), und das bissel Outgoing-Last kann der mit ab.
Zumindest kannst du sehen, ob der Absender gültig ist.
cu jth
Fred
Hi, kleiner Nachtrag: Es ist _nicht_ ethX, sondern doch dsl0, auch wireshark zeigt auf eth0 nix, dagegen auf dsl0 den traffic. Ich habe es jetzt so gelöst, dass ich das Weiterleiten unzulässiger SMTP-Pakete gesperrt habe, dann war Ruhe im Karton: $IPT -A FORWARD -i ${PCPOOL} -p tcp --dport 25 ! -d $MAILHOSTIP -j DROP $IPT -A FORWARD -i ${PCPOOL} -p udp --dport 25 ! -d $MAILHOSTIP -j DROP $IPT -A FORWARD -i ${PCPOOL} -p smtp --dport 25 ! -d $MAILHOSTIP -j DROP Ich habe aber noch 2 Nachfragen: 1. kann es sein, dass --dport und/oder -d ... - Argumente mit dem lt. manpage zulässigen Argument "-p all" nicht funktionieren (hier iptables 1.4.10 der OS 11.4 am werkeln). Ich bin damit nicht klar gekommen, deshalb die 3 Zeilen oben. 2. Was sieht wireshark, wenn ich es auf der Internet-Schnittstelle lauschen lasse, die aber mit iptables filtere? Also den Paketverkehr vor oder nach dem Filtern? (Ja, ich weiß, ich kann ja den Verkehr vor- und nachher auch von iptables loggen lassen, aber wireshark ist schon etwas übersichtlicher, als Logdateien...) thX für Tipps cu jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (2)
-
Fred Ockert -
Joerg Thuemmler