大家好 :
想問如何設定只有 smtp.gmail.com 出去,其他的outbound都鎖起來。
我一開始是這樣設定....後來整個連到外面都被鎖起來
-A OUTPUT -o ppp0 -j DROP
-A FORWARD -o ppp0 -j DROP
後來只設定這樣,但是沒有限制只有smtp.gmail.com可以對外連線。
-A OUTPUT -d smtp.gmail.com -p tcp -m tcp --dport 587 -j ACCEPT
所以想請教大家要如何只限制smtp.gmail.com對外連線,其他連線就鎖住。
1:SMTP不是只靠TCP 25或587 port就可以work(至少DNS也要work),要寫成default deny之前請先搞清楚各種service間的關係....
2:IPTABLE rule中的dst/src不能寫FQDN(不是完全不能寫FQDN,這麼寫只會把下rule時FQDN->IP拿到的第一個IP放進rule,而不是每次要做filter時都去做FQDN->IP,再把拿到的所有IP套進rule)....
3:gmail的MX不只一台,FQDN也不只一個,硬要這麼幹的話有很大的機會會拿石頭砸自己的腳....