Re: Iptables - droppare un accesso
WannaBe wrote:
>>>> siccome e` sotto NAT, una volta fatto il PREROUTING iptables non vede
>>>> piu` l'IP pubblico del tuo mail server ma quello interno 10.1.1.2 e
>>>> dunque in fase di routing decision i pacchetti vengono dirottati sulla
>>>> catena di FORWARD e non su quella di INPUT.
>>>>
>>>> secondo me dovresti impostare una regola del tipo:
>>>>
>>>> iptables -A FORWARD -i ethxx-di-ingresso -s 85.43.100.162 -o
>>>> ethxxdi-uscita -p tcp -d 10.1.1.2 --dport 25 -m state --state NEW -j
>>>> DROP
>>>
>>>
>>>
>>>
>>> Io ho eth0 che è la scheda che connette il server al router
>>> e eth1 che è la si connette con la Lan
>>>
>>> Dovrei scrivere così allora?
>>>
>>> iptables -A FORWARD -i eth0 -s 85.43.100.162 -o eth1 -p tcp -d 0.1.1.2
>>> --dport 25 -m state --state NEW -j DROP
>>>
>>
>> yes, mi pare ragionevole. Eventualmente inizia senza specificare le due
>> interfacce e, se OK, aggiungile in un secondo momento.
>>
>> fra l'altra mi sono reso conto di non aver postato sul forum la nostra
>> chiaccherata...:-( sbadato sono!!
>>
>> fabrizio.
>>
>
> Ora ho scritto così
> iptables -A FORWARD -s 85.43.100.162 -p tcp -d 10.1.1.2 --dport 25 -m
> state --state NEW -j DROP
la regola, nella catena di FORWARD, e` prima di dove dai accesso
generico alla porta 25 10.1.1.2?
fabrizio.
> ma nulla da fare.
> Nel maillog trovo sempre i vari tentativi di accesso di 85.43.100.162
>
> Che fastidio!!
>
Reply to: