[Comm] Re: [Comm] pop3 через iptables

[=?iso-8859-1?q?demien_=CE=C1_samtel=2Eru?=]

On Fri, Nov 01, 2002 at 02:20:46PM +0700, aek wrote:
> Hello demien,
> 
> Friday, November 01, 2002, 2:00:46 PM, you wrote:
> 
> dsr> Всем доброго дня.
> 
> dsr> Хочу раздавать почту (pop3)  через iptables, бросьте кто-нибудь пожалуйста коротенький
> dsr> примерчик настройки iptables.
> dsr> Инет раздается следующим образом: 
> dsr> модем - выделенка (трафик до провайдера)
> dsr> DVB карта - спутниковый инет (обратный трафик через тарелку)
> dsr> сетевая карта - раздача инета в сети.
> dsr> На машине (ALTLinux Master 2), стоят и iptables и ipchains, ipchains нужено
> dsr> убить или они совместно могут работать?
> 
> Выбирать ipt... ipc... будешь сам. Они чем то отличаются но в эти
> тонкости я не залезал. Основная мысль этих заморочек - прикрыть
> порты.
> 
> # Allow 'pop3'
> ipchains -A input  -p tcp -s 10.5.80.0/21 0:65535 --dport 110 -j ACCEPT
> ipchains -A output -p tcp ! -y --sport 110 -d 10.5.80.0/21 0:65535 -j ACCEPT
> 
> Это конкретный мой кусок  Ипчейнса для внутренней сети 10.5.80.0/21
> 
> Перед этим конечно же прибивается все остальное:
> # Delete any existing chains
> ipchains -F
> ipchains -X
> # Shut down all traffic
> ipchains -P forward DENY
> ipchains -P input DENY
> ipchains -P output DENY
> 
> И... кроме pop3 твои юзеры нече не увидют
> , а сервер будет ваще глух и слеп...
> для почты еще советую сделать:
> 
> # Allow 'smtp'
> ipchains -A input  -p tcp --sport 0:65535 --dport 25 -j ACCEPT
> ipchains -A output -p tcp ! -y --sport 25 --dport 0:65535 -j ACCEPT
> ipchains -A output -p tcp --sport 0:65535 --dport 25 -j ACCEPT
> ipchains -A input  -p tcp ! -y --sport 25 --dport 0:65535 -j ACCEPT
> 
> Понятное дело что весь остальной трафик у сервера придется
> тоже через Ипчейнз разрешать (по нормальному)
> 
А если у меня народ в инет через Squid лезет, а через Postfix почту
отправляет, для них то же нужно правила в ipchains прописывать?