Avatar billede uffed Nybegynder
25. marts 2003 - 22:14 Der er 20 kommentarer og
1 løsning

iptables - bloker alt trafik på port 25

hvis man vil blokere al trafik på port 25, og kun åbne for enkelte ip adresser og domains ?

hvad går man så?
Avatar billede bacce.dk Nybegynder
25. marts 2003 - 22:34 #1
hmm er du helt sikker på at du vil dette ??
hvis du gør det vil din server IKKE modtage emails da de også kommer ind på port 25..
tro mig jeg undrede mig da jeg lige pludselig ik modtig mails i et døgn
Avatar billede langbein Nybegynder
25. marts 2003 - 22:53 #2
"Normalt" så setter man input policy til DROP, slik at portene må åpnes enkeltvis.

I stedet for å lage en rule som åpner for all trafikk inn til port 25 så lager man et sett med rules som åpner for de gitte ip avsendere. Mon det ikke blir noe slikt som:

iptables -A INPUT -i eth0 -s <ikke_slem_avs_ip> -p tcp --dport 25 -j ACCEPT

De port 25 pakker som ikke fanges av et sett med slike regler skal/vil havne ut i default policy som sier drop. (Forutsatt at du har satt den til drop.)

Legg beskjed hvis det ikke virker.

Når det der i mot gjelder avsender domene så er det vel tvilsomt om det vil være praktisk mulig å få en packet filtering firewall til å sjekke på dette ??
Avatar billede uffed Nybegynder
25. marts 2003 - 22:55 #3
kan man ikke skrive

drop alt hvad der kommer til port 25
åbn for alt hvad der kommer fra adresse til port 25
??
hvordan skrives det ?
Avatar billede uffed Nybegynder
25. marts 2003 - 22:58 #4
bacce.dk >> emails mkommer sgu da ikke ind på port 25, gør de ?!?!?!

jeg vil bare lukke alle ude der ikke må lave SMTP relay ...
Avatar billede langbein Nybegynder
25. marts 2003 - 23:00 #5
I så fall i omvendt rekkefølge:

iptables -A INPUT -i eth0 -s <ikke_slem_avs_ip> -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport -j DROP

Først aksepteres enkelte port 25 pakker ut fra regel 1. Der nest droppes de øvrige ut fra regel 2. Man kan selvfølgelig ha flere stykker regel 1.
Avatar billede mfalck Praktikant
25. marts 2003 - 23:01 #6
jo - emails kommer ind på port 25.
Avatar billede langbein Nybegynder
25. marts 2003 - 23:02 #7
Jo e-mail kommer da inn via port 25 og effekten av å bare åpne for noen ip er at det bare er disse mailserverne på de aktuelle iper som du har spesifisert som får sende mail til deg.
Avatar billede mfalck Praktikant
25. marts 2003 - 23:02 #8
hvilken mail-server kører du med - det er som regel lettere at sætte mail-serveren op til at undlade at relaye post fremfor at gennemtvinge det i iptables.
Avatar billede langbein Nybegynder
25. marts 2003 - 23:03 #9
Mail relay deny ligger vel i konfigureringen av mailserver ?
Avatar billede langbein Nybegynder
25. marts 2003 - 23:04 #10
Det var et par doble .. beklager !
Avatar billede uffed Nybegynder
25. marts 2003 - 23:24 #11
jeg bruger qmail, med tcprules ...
Avatar billede mfalck Praktikant
25. marts 2003 - 23:26 #12
Then, to control relay access, put entries in /etc/hosts.allow and /etc/hosts/deny.

To allow relaying from a specific host or hosts, use the following syntax in /etc/hosts.allow:

# allow single host to relay:
tcp-env:        127.0.0.1:                      setenv RELAYCLIENT
# allow multiple hosts to relay (here, 192.168.1.0/24):
tcp-env:        192.168.1.0/255.255.255.0:      setenv RELAYCLIENT
# allow all other hosts to send mail to domains handled by this server,
# but not relay:
tcp-env:        ALL

To deny connections from a specific machine (useful for blocking spammers and relay rapists, or to block outbound email from machines that shouldn't be sending it), do something like this in /etc/hosts.deny:

# deny inbound smtp from this host:
tcp-env:        192.168.99.99

Yes, you must use "tcp-env" and not "smtp" in hosts.(allow|deny) or it won't work.  Remember that hosts.allow takes precedence over hosts.deny!
Avatar billede mfalck Praktikant
25. marts 2003 - 23:27 #13
var hvad jeg lige kunne finde om relaying og qmail (er ikke qmail-mand :-) )
Avatar billede langbein Nybegynder
26. marts 2003 - 10:56 #14
Eneste erfaring med qmail er en testinstallasjon som ikke ville kjøre.

Men fant noe dok som jeg synes ser ok ut:
http://www.lifewithqmail.org/lwq.html#relaying
http://www.lifewithqmail.org/lwq.html

Hvordan installerer man ellers qmail på Red Hat på en enklest mulig måte ?
Finnes det noen RPM's ??
Avatar billede uffed Nybegynder
26. marts 2003 - 13:00 #15
jeg brugte guiden på :
http://lws.dk - under mailserver
faktisk er mit problem bare at der nogen som har brugt min smtp server som relay med omkring 30.000 mail i timen ! :( så husk lige at lukke for smtp relaying .... :)
Avatar billede langbein Nybegynder
26. marts 2003 - 15:43 #16
Da bør du nok få lukket den snarest ja !!

Forsøkte også guiden på lws.dk men gjorde bare et lite forsøk så jeg har vel gjort et eller annet feil.

Har ellers et slags ideologisk grunnsyn på Linux at det skal være enkelt slik at den skal kunne brukes av mange. Unngår derfor helst distribusjoner av typen Debian og ellers programmer som som må kompileres.

Har ellers en fiks løsning kjørende på sendmail synes jeg. For å hente mail må man logge seg på og også for å få sende eller relaye mail så må man sende ved passord, altså logge seg på.

Kjører også Postfiks på en annen server (fordi den er "ideologisk riktig") men har ikke fått til trikset med å måtte logge på med passord for å sende post ut via mailserver.
Avatar billede uffed Nybegynder
26. marts 2003 - 23:58 #17
men hvordan håndterer sendmail at have flere domæner, og brugere med samme navn. kan man oprettte brugere i ldap, mysql ? Og hvor sikker er sendmail i forhold til qmail ? Kan sendmail bruges med et webmail modul af ordentlig karakter ?
Avatar billede langbein Nybegynder
27. marts 2003 - 00:51 #18
Jeg vet ikke hvordan man benytter virtuelle adresser på Sendmail. Har sett i noe dokumentasjon at det er mulig, men aner ikke hvordan.

Flere domener er forresten problemfritt. Den kjører med så mange domener man måtte ønske som default. Problemet er når brukerne får samme navn.

Har sett at med postfix så fikser man den saken med en enkel omadressering. Har man utad to brukere som heter post så gjør man bare slik: post@domene2.dk videresendes til post2@systemdomene.dk

Ville tro at dette skulle være mulig å få til i Sendmail også.

Vet ikke hvordan virtuelle domener fugerer hos Qmail. På samme måte, en enkel omadressering ? Noen som vet ??
Avatar billede uffed Nybegynder
27. marts 2003 - 10:28 #19
qmail har forskellige måder at gøre dette... For det første bliver brugerne ikke oprette i unix, de bliver oprettet i vpopmail, hvor der indeles i domæner. så det vil sige at man slipper for at lave den omadressering.
Avatar billede langbein Nybegynder
27. marts 2003 - 10:48 #20
OK takker for info. Da oppretter altså qmail/vpopmail egene brukere og det blir jo no helt annet ..
Avatar billede uffed Nybegynder
27. marts 2003 - 15:39 #21
jep
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester