Dúvida com IpTables

Ola pessoal da lista, empresa onde eu trabalho o pessoal está querendo mudar o servidor win 2000 para Linux, e eu que fiquei responsável por essa mudança.
Ja configurei ele quase 100%, está faltando algumas coisas, uma delas é o compartilhamento IpTables com NAT

eu estou usando assim
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

mas isso compartilha a speedy na rede inteira... eu gostaria que compartilhar apenas em 2 maquinas, ips 192.168.1.2 e .3


Outra coisa... é que eu fui dando acesso ao que eu precisava..e fechei o que eu nao iria usar...
única coisa que eu nao consegui liberar foi o email, eu liberei porta 25 de smpt e 110 de POP

mas nos terminais quando eu tento enviar o email, o outlook fala que nao achou o dominio. ja tentei liberar varias portas mas nao achei nenhuma.]

alguem tem alguma idéia??

Obrigado

[Mr_Mind]

para o NAT de apenas aquelas duas maquinas:
iptables -t nat -A POSTROUTING -s 192.168.1.2 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.3 -j MASQUERADE

agora em relaçao ao SMTP e POP podes postar aqui as regras com que fechas e abres?
Toma em atenção que deves abrir as portas que queres..e so depois fechas tudo, pq se fechares tudo e so depois abrires ele quando fecha ignora logo as que estao em baixo!

Um abraço <IMG SRC="images/forum/smilies/icon_biggrin.gif">

[pensador-ce]

aqui no nosso fire nos bloqueamos as portas e liberamos só para os endereços indicados:
iptables -t nat -A POSTROUTING -s 192.168.45.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.45.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.45.0/24 -j ACCEPT
veja se seu arquivo /var/named/dominio.com.br esta configurado.
pop IN CNAME mail.vicosadoceara.com.
smtp IN CNAME mail.vicosadoceara.com.
qualquer coisa tô no icq

Eu abro antes de fechar, fechar eu fecho no final
# POP3
iptables -t filter -A INPUT -s 0/0 -d 192.168.1.4 -p tcp --dport 110:110 -j ACCEPT
#SMTP
iptables -t filter -A INPUT -s 0/0 -d 192.168.1.4 -p tcp --dport 25 -j ACCEPT

no final eu tento fechar tudo
iptables -t filter -A INPUT -s 0/0 -d 192.168.1.4 -j DROP


TUdo esta OK, só o email, alias, agora ele nao da mensagem de erro.. tipo
No Outlook vai, mas nunca chega no desinto, no caso eu mandei pro hotmail, e nem do hotmail para o meu server nao foi..

usei 192.168.1.4 que eh o IP qu eu estou testando na rede....

Outra coisa... Quais as maiores vunerabilidades de hoje? apache bugado? sendmail? php?

obrigado

[Mr_Mind]

Façamos o seguinte: diga o q pretende com o seu POP e SMTP. Por certo vc quer implementar relaying controlado e isso nao e&acute; por IPtables. Ele precisa do SMTP para injectar emails para dentro ... ora bem, em vez de eu complicar explicite o que deseja e eu dou a minha dica.

Um abraço <IMG SRC="images/forum/smilies/icon_biggrin.gif">

Meu relay do sendmail está OK

eu quero a máxima proteção possivel com o IpTables.

a regra é assim..
no começo eu vou dando acesso a tudo que pode
HTTP, HTTPs, SSH, POP, SMTP

e no final eu gostaria de fechar tudo que eu nao abri, ou seja, dando um DROP em todas as portas.

esse é meu objetivo

[Mr_Mind]

se voce acredita que o relay esta bem configurado, entao:

iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -j REJECT

1º.: se isso for um firewall e não a máquina em que voce tem esse servidores tem que adicionar -d 192.168.0.1 (sendo este o ip da maquina com SMTP e POP);

2º.: pq usar o REJECT? Porque o DROP "avisa" possiveis invasores que você tem um sistema firewall, ja&acute; o reject faz parecer que a maquina nao existe ou aquele serviço nao esta activo.

Isto basta para ter seu SMTP/POP seguro, so abrindo estes serviços para a rede/Internet.

Um abraço
<IMG SRC="images/forum/smilies/icon_biggrin.gif">