- iptables X output filter
+ Responder ao Tópico
-
iptables X output filter
Ai galera, tai um pergunta + ou -
eu tenho um server firewall com politica isolada, mas nele roda http, dns, ssh, pop, smtp. a minha duvida é o seguinte qual o perigo que eu corro se eu deixar o OUTPUT filter com a regra ACCEPT em vez de DROP e libera o que é necessario sair????
-
iptables X output filter
Só não terá controle sobre oq está saindo de sua rede, todos os usuários terão acesso a navegação, e-mail, programas de mensagens instantaneas, etc...
Caso seja uma empresa de médio/grande porte, o consumo do link será bem alto, isso se não chegar a dar "gargalo".
Acredito que o problema é somente este.
-
saida de dados
bem eu sempre controlei as saida da rede interna pelo FORWARD e as vezes o INPUT mesmo e tambem o PREROUTING nat, eu controlo saida por essas chains e o OUTPUT filter eu nao uso para controlar saida nao...
MAIS ALGUEM TEM OPNIAO SOBRE A QUESTÃO?????
GRATO
-
Script POP e SMTP
Ai amigo,
Estou tentando configurar um servidor com as mesmas características do seu porém estou esbarrando em alguns problemas, talvez vc possa me dar uma força liberando o script do NAT para enviar e receber emails externos em minha rede interna através de um servidor Linux com link dinâmico .
Estou penando no Iptables para fazer o ruindows enviar e receber emails. Até agora só enxergue os ips externos..
Valeu pela força
gusman
-
libere no INPUT FILTER
libere no INPUT FILTER
para que vem de fora
iptables -A INPUT -d 200.xxx.xx.xx -i eth0 -p tcp -m tcp --dport 25 -m limit --limit 1/sec -j LOG --log-prefix "SMTP "
iptables -A INPUT -d 200.xxx.xx.xx -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A INPUT -d 200.xxx.xx.xx -i eth0 -p tcp -m tcp --dport 110 -m limit --limit 1/sec -j LOG --log-prefix "POP "
iptables-A INPUT -d 200.xxx.xx.xx -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
para que esta dentro eu no meu caso libero tudo...
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth1 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
ajuste conforme sua interface de rede