From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <aek@taxpol.krasnoyarsk.su>
Date: Fri, 1 Nov 2002 14:20:46 +0700
From: aek <aek@taxpol.krasnoyarsk.su>
X-Mailer: The Bat! (v1.39) Educational
Organization: UFSNP
X-Priority: 3 (Normal)
Message-ID: <13597.021101@taxpol.krasnoyarsk.su>
To: "demien@samtel.ru" <community@altlinux.ru>
In-reply-To: <20021101070046.GA30668@toyotasamara.ru>
References: <20021101070046.GA30668@toyotasamara.ru>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
Subject: [Comm] =?koi8-r?B?UmU6IFtDb21tXSBwb3AzIN7F0sXaIGlwdGFibGVz?=
Sender: community-admin@altlinux.ru
Errors-To: community-admin@altlinux.ru
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: community@altlinux.ru
X-Reply-To: aek <aek@taxpol.krasnoyarsk.su>
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Id: <community.altlinux.ru>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
List-Archive: <http://www.altlinux.ru/pipermail/community/>
Archived-At: <http://lore.altlinux.org/community/13597.021101@taxpol.krasnoyarsk.su/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Hello demien,

Friday, November 01, 2002, 2:00:46 PM, you wrote:

dsr> Всем доброго дня.

dsr> Хочу раздавать почту (pop3)  через iptables, бросьте кто-нибудь пожалуйста коротенький
dsr> примерчик настройки iptables.
dsr> Инет раздается следующим образом: 
dsr> модем - выделенка (трафик до провайдера)
dsr> DVB карта - спутниковый инет (обратный трафик через тарелку)
dsr> сетевая карта - раздача инета в сети.
dsr> На машине (ALTLinux Master 2), стоят и iptables и ipchains, ipchains нужено
dsr> убить или они совместно могут работать?

Выбирать ipt... ipc... будешь сам. Они чем то отличаются но в эти
тонкости я не залезал. Основная мысль этих заморочек - прикрыть
порты.

# Allow 'pop3'
ipchains -A input  -p tcp -s 10.5.80.0/21 0:65535 --dport 110 -j ACCEPT
ipchains -A output -p tcp ! -y --sport 110 -d 10.5.80.0/21 0:65535 -j ACCEPT

Это конкретный мой кусок  Ипчейнса для внутренней сети 10.5.80.0/21

Перед этим конечно же прибивается все остальное:
# Delete any existing chains
ipchains -F
ipchains -X
# Shut down all traffic
ipchains -P forward DENY
ipchains -P input DENY
ipchains -P output DENY

И... кроме pop3 твои юзеры нече не увидют
, а сервер будет ваще глух и слеп...
для почты еще советую сделать:

# Allow 'smtp'
ipchains -A input  -p tcp --sport 0:65535 --dport 25 -j ACCEPT
ipchains -A output -p tcp ! -y --sport 25 --dport 0:65535 -j ACCEPT
ipchains -A output -p tcp --sport 0:65535 --dport 25 -j ACCEPT
ipchains -A input  -p tcp ! -y --sport 25 --dport 0:65535 -j ACCEPT

Понятное дело что весь остальной трафик у сервера придется
тоже через Ипчейнз разрешать (по нормальному)


-- 
Всех благ!
Анатолий