IPCOP - zakázat odchozí port
Jsem IT správcem na škole, kde jsem letos o letních prázdninách nasadil do provozu IPCop jako náš firewall. Vše běží v pohodě, až na jeden problém, se kterým si neumím poradit:
Studenti zde mají možnost připojit své počítače k internetu. Dokázal jsem zajistit to, aby se k němu mohli připojit pouze ti, o kterých vím (a kteří za internet platí). Dokonce jsem zprovoznil on-line statistiku stahovaných dat pro jednotlivé IP… Problém však mám se spamovými databázemi (www.spamhaus.org, www.spamcop.net, atd.). Od začátku školního roku pátrám po zavirovaném počítači v naší síti, který posílá do internetu spam, díky jemuž se ocitáme mezi spamery, a proto od nás na některé servery neochází pošta (v síti máme vlastní mailserver). Jak jsem pochopil z přístupu některých studentů k problematice virů, problémových počítačů u nás bude hned několik.
Potřeboval bych tedy v IPCopu nastavit pravidla, která by umožňovala odesílat mailové zprávy pouze našemu mailserveru a všem dalším to zakázala (přístup do internetu na portu 25 aby měl pouze mailserver a ostatní ne). Bohužel vůbec netuším, jaký ad-on modul použít a jak ho nakonfigurovat. Copfilter nebo jiný antispam pro IPCopa se mi nasazovat nechce...
Díky za rady.
na zakazani odchoziho trafiku ( ipcop defaultne bere interni sit jako trusted ) doinstaluj doplnek blockouttraffic
do tabulek v prikazovem radku netreba zasahovat. Musel bys to pridat i do "ulozenych tabulek" aby se nacetli i po restartu.
Tak se mi to podařilo, díky všem za nakopnutí
Do souboru /etc/rc.d/rc.firewall.local jsem přidal dva řádky:
/sbin/iptables -A CUSTOMFORWARD -p tcp -i eth0 -s 192.168.0.2 --dport 25 -j ACCEPT
/sbin/iptables -A CUSTOMFORWARD -p tcp -i eth0 -s 192.168.0.0/24 --dport 25 -j REJECT
první řádek: povolí odchozí smtp (port 25) spojení z 192.168.0.2
druhý řádek: zakáže všem PC v síti smtp spojení