From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <fagot@toyotasamara.ru>
Date: Fri, 1 Nov 2002 12:37:55 +0400
From: demien@samtel.ru
To: community@altlinux.ru
Subject: Re: [Comm] Re: [Comm] pop3 =?koi8-r?B?3sXS?=
	=?koi8-r?B?xdo=?= iptables
Message-ID: <20021101083755.GB30668@toyotasamara.ru>
References: <20021101070046.GA30668@toyotasamara.ru> <13597.021101@taxpol.krasnoyarsk.su>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <13597.021101@taxpol.krasnoyarsk.su>
Sender: community-admin@altlinux.ru
Errors-To: community-admin@altlinux.ru
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: community@altlinux.ru
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Id: <community.altlinux.ru>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
List-Archive: <http://www.altlinux.ru/pipermail/community/>
Archived-At: <http://lore.altlinux.org/community/20021101083755.GB30668@toyotasamara.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Fri, Nov 01, 2002 at 02:20:46PM +0700, aek wrote:
> Hello demien,
> 
> Friday, November 01, 2002, 2:00:46 PM, you wrote:
> 
> dsr> Всем доброго дня.
> 
> dsr> Хочу раздавать почту (pop3)  через iptables, бросьте кто-нибудь пожалуйста коротенький
> dsr> примерчик настройки iptables.
> dsr> Инет раздается следующим образом: 
> dsr> модем - выделенка (трафик до провайдера)
> dsr> DVB карта - спутниковый инет (обратный трафик через тарелку)
> dsr> сетевая карта - раздача инета в сети.
> dsr> На машине (ALTLinux Master 2), стоят и iptables и ipchains, ipchains нужено
> dsr> убить или они совместно могут работать?
> 
> Выбирать ipt... ipc... будешь сам. Они чем то отличаются но в эти
> тонкости я не залезал. Основная мысль этих заморочек - прикрыть
> порты.
> 
> # Allow 'pop3'
> ipchains -A input  -p tcp -s 10.5.80.0/21 0:65535 --dport 110 -j ACCEPT
> ipchains -A output -p tcp ! -y --sport 110 -d 10.5.80.0/21 0:65535 -j ACCEPT
> 
> Это конкретный мой кусок  Ипчейнса для внутренней сети 10.5.80.0/21
> 
> Перед этим конечно же прибивается все остальное:
> # Delete any existing chains
> ipchains -F
> ipchains -X
> # Shut down all traffic
> ipchains -P forward DENY
> ipchains -P input DENY
> ipchains -P output DENY
> 
> И... кроме pop3 твои юзеры нече не увидют
> , а сервер будет ваще глух и слеп...
> для почты еще советую сделать:
> 
> # Allow 'smtp'
> ipchains -A input  -p tcp --sport 0:65535 --dport 25 -j ACCEPT
> ipchains -A output -p tcp ! -y --sport 25 --dport 0:65535 -j ACCEPT
> ipchains -A output -p tcp --sport 0:65535 --dport 25 -j ACCEPT
> ipchains -A input  -p tcp ! -y --sport 25 --dport 0:65535 -j ACCEPT
> 
> Понятное дело что весь остальной трафик у сервера придется
> тоже через Ипчейнз разрешать (по нормальному)
> 
А если у меня народ в инет через Squid лезет, а через Postfix почту
отправляет, для них то же нужно правила в ipchains прописывать?