[Comm] pop3 через iptables

ALT Linux Community general discussions
 help / color / mirror / Atom feed

* [Comm] pop3 через iptables
@ 2002-11-01  7:00 demien
  2002-11-01  7:20 ` [Comm] " aek
  0 siblings, 1 reply; 4+ messages in thread
From: demien @ 2002-11-01  7:00 UTC (permalink / raw)
  To: community

Всем доброго дня.

Хочу раздавать почту (pop3)  через iptables, бросьте кто-нибудь пожалуйста коротенький
примерчик настройки iptables.
Инет раздается следующим образом: 
модем - выделенка (трафик до провайдера)
DVB карта - спутниковый инет (обратный трафик через тарелку)
сетевая карта - раздача инета в сети.
На машине (ALTLinux Master 2), стоят и iptables и ipchains, ipchains нужено
убить или они совместно могут работать?

Заранее благодарен, Дмитрий.

^ permalink raw reply	[flat|nested] 4+ messages in thread

* [Comm] Re: [Comm] pop3 через iptables
  2002-11-01  7:00 [Comm] pop3 через iptables demien
@ 2002-11-01  7:20 ` aek
  2002-11-01  8:37   ` demien
  0 siblings, 1 reply; 4+ messages in thread
From: aek @ 2002-11-01  7:20 UTC (permalink / raw)
  To: demien@samtel.ru

Hello demien,

Friday, November 01, 2002, 2:00:46 PM, you wrote:

dsr> Всем доброго дня.

dsr> Хочу раздавать почту (pop3)  через iptables, бросьте кто-нибудь пожалуйста коротенький
dsr> примерчик настройки iptables.
dsr> Инет раздается следующим образом: 
dsr> модем - выделенка (трафик до провайдера)
dsr> DVB карта - спутниковый инет (обратный трафик через тарелку)
dsr> сетевая карта - раздача инета в сети.
dsr> На машине (ALTLinux Master 2), стоят и iptables и ipchains, ipchains нужено
dsr> убить или они совместно могут работать?

Выбирать ipt... ipc... будешь сам. Они чем то отличаются но в эти
тонкости я не залезал. Основная мысль этих заморочек - прикрыть
порты.

# Allow 'pop3'
ipchains -A input  -p tcp -s 10.5.80.0/21 0:65535 --dport 110 -j ACCEPT
ipchains -A output -p tcp ! -y --sport 110 -d 10.5.80.0/21 0:65535 -j ACCEPT

Это конкретный мой кусок  Ипчейнса для внутренней сети 10.5.80.0/21

Перед этим конечно же прибивается все остальное:
# Delete any existing chains
ipchains -F
ipchains -X
# Shut down all traffic
ipchains -P forward DENY
ipchains -P input DENY
ipchains -P output DENY

И... кроме pop3 твои юзеры нече не увидют
, а сервер будет ваще глух и слеп...
для почты еще советую сделать:

# Allow 'smtp'
ipchains -A input  -p tcp --sport 0:65535 --dport 25 -j ACCEPT
ipchains -A output -p tcp ! -y --sport 25 --dport 0:65535 -j ACCEPT
ipchains -A output -p tcp --sport 0:65535 --dport 25 -j ACCEPT
ipchains -A input  -p tcp ! -y --sport 25 --dport 0:65535 -j ACCEPT

Понятное дело что весь остальной трафик у сервера придется
тоже через Ипчейнз разрешать (по нормальному)

-- 
Всех благ!
Анатолий

^ permalink raw reply	[flat|nested] 4+ messages in thread

* Re: [Comm] Re: [Comm] pop3 через iptables
  2002-11-01  7:20 ` [Comm] " aek
@ 2002-11-01  8:37   ` demien
  2002-11-04  5:01     ` [Comm] Re[2]: " aek
  0 siblings, 1 reply; 4+ messages in thread
From: demien @ 2002-11-01  8:37 UTC (permalink / raw)
  To: community

On Fri, Nov 01, 2002 at 02:20:46PM +0700, aek wrote:
> Hello demien,
> 
> Friday, November 01, 2002, 2:00:46 PM, you wrote:
> 
> dsr> Всем доброго дня.
> 
> dsr> Хочу раздавать почту (pop3)  через iptables, бросьте кто-нибудь пожалуйста коротенький
> dsr> примерчик настройки iptables.
> dsr> Инет раздается следующим образом: 
> dsr> модем - выделенка (трафик до провайдера)
> dsr> DVB карта - спутниковый инет (обратный трафик через тарелку)
> dsr> сетевая карта - раздача инета в сети.
> dsr> На машине (ALTLinux Master 2), стоят и iptables и ipchains, ipchains нужено
> dsr> убить или они совместно могут работать?
> 
> Выбирать ipt... ipc... будешь сам. Они чем то отличаются но в эти
> тонкости я не залезал. Основная мысль этих заморочек - прикрыть
> порты.
> 
> # Allow 'pop3'
> ipchains -A input  -p tcp -s 10.5.80.0/21 0:65535 --dport 110 -j ACCEPT
> ipchains -A output -p tcp ! -y --sport 110 -d 10.5.80.0/21 0:65535 -j ACCEPT
> 
> Это конкретный мой кусок  Ипчейнса для внутренней сети 10.5.80.0/21
> 
> Перед этим конечно же прибивается все остальное:
> # Delete any existing chains
> ipchains -F
> ipchains -X
> # Shut down all traffic
> ipchains -P forward DENY
> ipchains -P input DENY
> ipchains -P output DENY
> 
> И... кроме pop3 твои юзеры нече не увидют
> , а сервер будет ваще глух и слеп...
> для почты еще советую сделать:
> 
> # Allow 'smtp'
> ipchains -A input  -p tcp --sport 0:65535 --dport 25 -j ACCEPT
> ipchains -A output -p tcp ! -y --sport 25 --dport 0:65535 -j ACCEPT
> ipchains -A output -p tcp --sport 0:65535 --dport 25 -j ACCEPT
> ipchains -A input  -p tcp ! -y --sport 25 --dport 0:65535 -j ACCEPT
> 
> Понятное дело что весь остальной трафик у сервера придется
> тоже через Ипчейнз разрешать (по нормальному)
> 
А если у меня народ в инет через Squid лезет, а через Postfix почту
отправляет, для них то же нужно правила в ipchains прописывать?


^ permalink raw reply	[flat|nested] 4+ messages in thread

* [Comm] Re[2]: [Comm] Re: [Comm] pop3 через iptables
  2002-11-01  8:37   ` demien
@ 2002-11-04  5:01     ` aek
  0 siblings, 0 replies; 4+ messages in thread
From: aek @ 2002-11-04  5:01 UTC (permalink / raw)
  To: demien@samtel.ru

Hello demien,

Friday, November 01, 2002, 3:37:55 PM, you wrote:

>> Понятное дело что весь остальной трафик у сервера придется
>> тоже через Ипчейнз разрешать (по нормальному)
>> 
dsr> А если у меня народ в инет через Squid лезет, а через Postfix почту
dsr> отправляет, для них то же нужно правила в ipchains прописывать?

Повторюсь. Придется выписывать все порты которые ты открываешь и кому
ты их открываешь. Для сквида правила такие:

Юзера ходют из подсетки (сам догадайся какой :)) на порт 8010 (у тебя
может быть прописан другой порт, посмотри в /etc/squid/squid.conf)
ipchains -A input  -p tcp -s 192.168.1.0/24 0:65535 --dport 8010 -j ACCEPT
От себя отпускаются только пакеты с установленным соединением от 8010
порта и только в разрешеную сеть.
ipchains -A output -p tcp ! -y --sport 8010 -d 192.168.1.0/24 0:65535 -j ACCEPT

А сквид уже ходит на любую машину к 80 порту (WWW)
ipchains -A output -p tcp --sport 0:65535 --dport 80 -j ACCEPT
К себе - только установленные соединения с 80 порта.
ipchains -A input  -p tcp ! -y --sport 80 --dport 0:65535 -j ACCEPT

Самые широко используемые порты и протоколы ты должен знать, без этого
за firewall можешь даже не браться.


-- 
Всех благ!
Анатолий




^ permalink raw reply	[flat|nested] 4+ messages in thread

end of thread, other threads:[~2002-11-04  5:01 UTC | newest]

Thread overview: 4+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2002-11-01  7:00 [Comm] pop3 через iptables demien
2002-11-01  7:20 ` [Comm] " aek
2002-11-01  8:37   ` demien
2002-11-04  5:01     ` [Comm] Re[2]: " aek

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git