[Comm] Re: [Comm] pop3 через iptables

[aek]

Hello demien,

Friday, November 01, 2002, 2:00:46 PM, you wrote:

dsr> Всем доброго дня.

dsr> Хочу раздавать почту (pop3)  через iptables, бросьте кто-нибудь пожалуйста коротенький
dsr> примерчик настройки iptables.
dsr> Инет раздается следующим образом: 
dsr> модем - выделенка (трафик до провайдера)
dsr> DVB карта - спутниковый инет (обратный трафик через тарелку)
dsr> сетевая карта - раздача инета в сети.
dsr> На машине (ALTLinux Master 2), стоят и iptables и ipchains, ipchains нужено
dsr> убить или они совместно могут работать?

Выбирать ipt... ipc... будешь сам. Они чем то отличаются но в эти
тонкости я не залезал. Основная мысль этих заморочек - прикрыть
порты.

# Allow 'pop3'
ipchains -A input  -p tcp -s 10.5.80.0/21 0:65535 --dport 110 -j ACCEPT
ipchains -A output -p tcp ! -y --sport 110 -d 10.5.80.0/21 0:65535 -j ACCEPT

Это конкретный мой кусок  Ипчейнса для внутренней сети 10.5.80.0/21

Перед этим конечно же прибивается все остальное:
# Delete any existing chains
ipchains -F
ipchains -X
# Shut down all traffic
ipchains -P forward DENY
ipchains -P input DENY
ipchains -P output DENY

И... кроме pop3 твои юзеры нече не увидют
, а сервер будет ваще глух и слеп...
для почты еще советую сделать:

# Allow 'smtp'
ipchains -A input  -p tcp --sport 0:65535 --dport 25 -j ACCEPT
ipchains -A output -p tcp ! -y --sport 25 --dport 0:65535 -j ACCEPT
ipchains -A output -p tcp --sport 0:65535 --dport 25 -j ACCEPT
ipchains -A input  -p tcp ! -y --sport 25 --dport 0:65535 -j ACCEPT

Понятное дело что весь остальной трафик у сервера придется
тоже через Ипчейнз разрешать (по нормальному)


-- 
Всех благ!
Анатолий