Есть ли правило iptables, разрешающее только электронную почту на порт 25?

577
user3094719

Есть ли способ заблокировать порт 25 для всего, кроме почтовой связи? Не удалось найти ответ на этот вопрос. Может быть, можно заблокировать все приложения, кроме тех, которые связаны с использованием выше?

Я использую qmail, если это важно.

0
Нет, iptables не блокирует приложения, поэтому вы не можете ограничить порт 80 Firefox с помощью iptables. Вам придется искать альтернативные инструменты, такие как selinux или apparmor (или аналогичные) (в зависимости от вашего дистрибутива). Panther 10 лет назад 0
Можно было бы использовать сопоставление строк в iptables, чтобы определить, соответствует ли трафик на порту 25 SMTP, но это будет очень сложно. Лучше всего, чтобы iptables пропускал трафик через порт 25 только на сервер электронной почты, а сервер электронной почты мог решить, является ли он действительным, и отбросить его, если нет. Paul 10 лет назад 0
@Paul, позволяющий iptables передавать трафик через порт 25 на сервер электронной почты, выглядит почти так же, как то, что я искал! Как это будет выглядеть ок.? user3094719 10 лет назад 0
в чем именно проблема?: Вы пытаетесь ограничить исходящий трафик через порт 25 или входящий трафик? Входящий трафик уже должен быть ограничен почтой, потому что вы перенаправили бы только порт 25 на сервер (если это не сервер в dmz / доступ к Интернету), и только порт qmail может прослушивать порт 25. Есть ли у вас проблемы с пользователями, использующими порт 25 для других вещей? Rik 10 лет назад 1

2 ответа на вопрос

1
aseaudi

Предполагая, что на вашем хосте не запущено вредоносное программное обеспечение, или нет определенного сопоставления портов, нет конкретной маршрутизации, тогда, скорее всего, ваше почтовое приложение использует порт 25 в качестве сокета, и никакие другие приложения не используют этот порт.

Если случится, что любое другое приложение отправит трафик на порт 25 вашего хоста, ваше почтовое приложение прочитает его, обнаружит, что это не почта, и отбросит его.

0
MariusMatutiae

Я думаю, что вы можете смешивать разные вопросы. Если у вас есть qmail, работающий в стандартной конфигурации, он будет прослушивать порт 25. Вы можете проверить это с помощью команды:

 sudo ss -lntp | grep 25

Эта команда покажет вам процесс ( опция -p ), прослушивающий порт 25.

Теперь давайте представим, что приложение, отличное от другого компьютера, отправляет пакеты на ваш порт 25: что произойдет? Ничего, если только это приложение не запрашивает именно qmail . Таким образом, нет необходимости (и также нет возможности) блокировать приложения на любом заданном порту. Если какой-либо компьютер отправляет пакет, предназначенный для приложения X, в порт, где Y прослушивает, ничего не произойдет. Таким образом, нет необходимости (и нет возможности) использовать iptables для запрета приложений .

Если вы мне не верите, просто попробуйте загрузить веб-страницу с порта 25 или установить ssh-соединение с ней и посмотреть, что произойдет.

Похожие вопросы