Logar conexões SMTP suspeitas

[Miguel]

Bem, comecei em um emprego novo, a empresa têm cerca de 60 estações, todas com Windows, e suspeito que boa parte delas tem spywares, obviamente.

A empresa paga um provedor de email, que fornece SMTP e POP3.

Eu gostaria de logar, todas as conexões solicitadas a servidores SMTP que não sejam o SMTP da empresa.

Eu estou tentando com a seguinte regra, que me parece não estar errada:

iptables -A OUTPUT -d ! host_do_smtp --dport 25 -j LOG

Eu interpreto da seguinte maneira: conexões que estiverem saindo para destinos diferentes de host_do_smtp e na porta 25, logar.

Porém, acontece o seguinte erro:
iptables v1.2.11: ! not allowed with multiple source or destination IP addresses

Como seria a maneira correta de se fazer isso?

[Fabio_Laé]

Miguel,

Esse erro ocorre pois OUTPUT refere-se aos pacotes gerados localmente pelo firewall, ou seja, tudo o que o equipamento firewall envia. A INPUT já é ao contrário do OUTPUT, pois controla tudo o que a máquina recebe.

No seu caso como quer bloquear pacotes que passam pelo equipamento onde está o firewall, precisa utilizar FORWARD.

Obs.: Esse erro com OUTPUT é bastante comum, pois supõe-se que o administrador do equipamento tem dominio total sobre o envio de pacotes, não precisando usar o firewall para bloquear ele mesmo.

Espero ter ajudado,

Abraços,

Fabio Laé

[1c3m4n]

iptables -A OUTPUT -d ! host_do_smtp --dport 25 -j LOG

faltou colocar -p tcp, qdo vc especifica portas no iptables vc tem q especificar o protocolo tb