iT邦幫忙

0

CentOS6.6的IPTABLE設定,只設定smtp.gmail.com出去,其他outbound都鎖住

大家好 :

想問如何設定只有 smtp.gmail.com 出去,其他的outbound都鎖起來。
我一開始是這樣設定....後來整個連到外面都被鎖起來

-A OUTPUT -o ppp0 -j DROP
-A FORWARD -o ppp0 -j DROP

後來只設定這樣,但是沒有限制只有smtp.gmail.com可以對外連線。

-A OUTPUT -d smtp.gmail.com -p tcp -m tcp --dport 587 -j ACCEPT

所以想請教大家要如何只限制smtp.gmail.com對外連線,其他連線就鎖住。

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

2
cmwang
iT邦大師 1 級 ‧ 2015-07-10 17:57:52
最佳解答

1:SMTP不是只靠TCP 25或587 port就可以work(至少DNS也要workOrz),要寫成default deny之前請先搞清楚各種service間的關係....

2:IPTABLE rule中的dst/src不能寫FQDN(不是完全不能寫FQDN,這麼寫只會把下rule時FQDN->IP拿到的第一個IP放進rule,而不是每次要做filter時都去做FQDN->IP,再把拿到的所有IP套進rule偷笑)....

3:gmail的MX不只一台,FQDN也不只一個,硬要這麼幹的話有很大的機會會拿石頭砸自己的腳OrzOrz....

看更多先前的回應...收起先前的回應...
Rick Hsu iT邦新手 4 級 ‧ 2015-07-13 14:06:26 檢舉

你好 :

之所以想要這麼作,是因為感覺SERVER被當作跳板,對外頻寬被吃滿了。所以才會想要鎖對外連線的頻寬。
我要如何解決的對外連線被吃滿的問題呢?

slime iT邦大師 1 級 ‧ 2015-07-13 17:13:00 檢舉

slamgundam提到:
感覺SERVER被當作跳板

修電腦不是談戀愛, 有感覺了還是要確認.

slamgundam提到:
感覺SERVER

那就提出數據吧偷笑

Rick Hsu iT邦新手 4 級 ‧ 2015-07-14 10:52:29 檢舉

你好 :

我有用紅框框起來

Rick Hsu iT邦新手 4 級 ‧ 2015-07-14 10:53:42 檢舉

你好 :

我有用紅框框起來
(不好意思剛剛沒傳圖上來)

我要發表回答

立即登入回答