закрыть 110 внешний порт в iptables

[Demolitionman]

у меня на 110 порте вертиться dovecot на компе 2 сетевые карты, одна смотрит в локалку вторая во внешку мой довекот видно из внешки а мне это не надо, тк почту я у хостера стягиваю, как мне закрыть внешний 110 порт и оставить внутренний на 192,168,112,1? redhat el5

:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 23 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

я пробовал добавлять iptables -I INPUT 1 -i eth0 -p tcp -d АДРЕС ПРОВА --dport 110 -j DROP но ошибку выдает при перезапуске айпитейбла
да и вообще чтобы я не добавлял всеравно ошибку дает

[arkhnchul]

да и вообще чтобы я не добавлял всеравно ошибку дает

подземный стук. какую ошибку?
вообще, проще разрешить только из локалки. Просо условие дополните, где оно разрешается.

[Institut]

-A INPUT -i ethN -p tcp -m tcp --sport 110 -j DROP
где EthN - интерфейс на котором необходимо закрыть 110 порт
Подойдет?

[Demolitionman]

-A INPUT -i ethN -p tcp -m tcp --sport 110 -j DROP
где EthN - интерфейс на котором необходимо закрыть 110 порт
Подойдет?

Сегодня попробую, Спасибо!
Что почитать посоветуете на данную тему?

[mandreika]

-A RH-Firewall-1-INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT

P.S.

RH-Firewall-1-INPUT - ужос длинно и не информативно

Зачем telnet открыл наружу да и 8080(прокси наверное тоже не стоит)

[pelmen]

Что почитать посоветуете на данную тему?

http://ubuntologia.ru/firewall-via-iptables

[arkhnchul]

iptables tutorial читать. На опеннете есть.

[Demolitionman]

Зачем telnet открыл наружу да и 8080(прокси наверное тоже не стоит)

прокся то и стоит на 8080
лень у клиентов менять было после виндовозной прокси порты, а редирект сделать не смог
проблема в том что я если порт закрываю то он закрывается на обе сетевухи так же и с открытием
вот открыл я юзерам порт 8080, он и на внешку открылся, правило для двух сетевых сработало
в этом вся и проблема, мне по идее надо чтобы внешка ваще закрыта была а внутренняя слушал почтовые порты и интернетовский

[Ленивая Бестолочь]

я юзерам порт 8080, он и на внешку открылся

указывайте интерфейс в правилах.
-A RH-Firewall-1-INPUT -i ethX -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
через вашу проксю может уже пару сайтов взломали и много асек угнали ;-)

[Demolitionman]

-A INPUT -i ethN -p tcp -m tcp --sport 110 -j DROP
где EthN - интерфейс на котором необходимо закрыть 110 порт
Подойдет?

не помогло один фиг с внешки пишет dovecot redy

я юзерам порт 8080, он и на внешку открылся

указывайте интерфейс в правилах.
-A RH-Firewall-1-INPUT -i ethX -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
через вашу проксю может уже пару сайтов взломали и много асек угнали ;-)

не пугайте меня так,,,, я пока с линуксом не связался все ок было)))))))))))

[Demolitionman]

у меня доменного имени нет только айпи и все так что думаю что беда меня обойдет стороной, но прикрыться все равно хотелось бы, ато в отпуск страшно выходить

[mandreika]

не обойдет

и выше сказали правильно - привязывай все правила к интерфейсу

[Demolitionman]

я юзерам порт 8080, он и на внешку открылся

указывайте интерфейс в правилах.
-A RH-Firewall-1-INPUT -i ethX -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
через вашу проксю может уже пару сайтов взломали и много асек угнали ;-)

вобщем вот так сделал, вроде с внешки не видно меня
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT

-A INPUT -s адрес прова -j DROP
-A INPUT -s 192.168.112.1/24 -j ACCEPT может эти 2 параметра тут лишние?

-A RH-Firewall-1-INPUT -i eth1 -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth1 -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth1 -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth1 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

и вот что касается этой толпы) ее тоже можно убрать нафег к примеру 50 и 51 порт что на них вертится?
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

[mandreika]

Я бы написал так
#begin
#Назначаем политики по умолчанию
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#Цепочка проверки tcp пакетов
iptables -N allowed
iptables -A allowed -p TCP --syn -j ACCEPT
iptables -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
#логирование отброшенных пакетов
#iptables -A allowed -p TCP -j LOG --log-prefix "TCP Drop:"
iptables -A allowed -p TCP -j DROP
#ограничения в 20 icmp пакетов в сек.
#ограничение в 20 одновременных коннектов с одного ip можно отключить
#iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m limit --limit 20/s -j ACCEPT
#iptables -t filter -A INPUT -p tcp --syn -m connlimit --connlimit-above 20 -j DROP
iptables -t filter -A INPUT -p tcp --dport 25 -j allowed
iptables -t filter -A INPUT -i eth0 -p tcp --dport 110 -j allowed
iptables -t filter -A INPUT -i eth0 -p tcp --dport 8080 -j allowed
iptables -t filter -A INPUT -i eth0 -p tcp --dport 22 -j allowed
#
#На всякий случай- не помню точно но без одного из них у меня почтовик не работал.
#iptables -t filter -A INPUT -i lo -j ACCEPT
#iptables -t filter -A FORWARD -i lo -j ACCEPT
#end

[Demolitionman]

Я бы написал так
#begin
#Назначаем политики по умолчанию
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#Цепочка проверки tcp пакетов
iptables -N allowed
iptables -A allowed -p TCP --syn -j ACCEPT
iptables -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
#логирование отброшенных пакетов
#iptables -A allowed -p TCP -j LOG --log-prefix "TCP Drop:"
iptables -A allowed -p TCP -j DROP
#ограничения в 20 icmp пакетов в сек.
#ограничение в 20 одновременных коннектов с одного ip можно отключить
#iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m limit --limit 20/s -j ACCEPT
#iptables -t filter -A INPUT -p tcp --syn -m connlimit --connlimit-above 20 -j DROP
iptables -t filter -A INPUT -p tcp --dport 25 -j allowed
iptables -t filter -A INPUT -i eth0 -p tcp --dport 110 -j allowed
iptables -t filter -A INPUT -i eth0 -p tcp --dport 8080 -j allowed
iptables -t filter -A INPUT -i eth0 -p tcp --dport 22 -j allowed
#
#На всякий случай- не помню точно но без одного из них у меня почтовик не работал.
#iptables -t filter -A INPUT -i lo -j ACCEPT
#iptables -t filter -A FORWARD -i lo -j ACCEPT
#end

попробуем...

[Jampire]

и вот что касается этой толпы) ее тоже можно убрать нафег к примеру 50 и 51 порт что на них вертится?

Код: Выделить всё

re-mail-ck      50/tcp                          # Remote Mail Checking Protocol
re-mail-ck      50/udp