https://opennet.ru/openforum/vsluhforumID10/3894.html Потребовалось запретить исходящие smtp-соединения на все серверы, кроме корпоративного почтовика.<br>Он по совместительству является шлюзом и расположен по адресу 192.168.1.1<br>В имеющиеся цепочки было внесено первым для 25 порта вот такое правило<br><br>-A INPUT -s 192.168.1.0/255.255.255.0 -d ! 192.168.1.1 -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable<br><br>Которое успешно не работает. Не могу понять, почему. Что я сделал не так?<br> https://opennet.ru/openforum/vsluhforumID10/3894.html#4 Wed, 23 Jul 2008 19:32:59 GMT &gt;Что я сделал не так? <br><br>Выбрали не ту цепочку, вам нужна FORWARD<br><br><br> https://opennet.ru/openforum/vsluhforumID10/3894.html#3 Wed, 23 Jul 2008 06:33:39 GMT &gt;Потребовалось запретить исходящие smtp-соединения на все серверы, кроме корпоративного почтовика. <br>&gt;Он по совместительству является шлюзом и расположен по адресу 192.168.1.1 <br>&gt;-s 192.168.1.0/255.255.255.0 -d ! 192.168.1.1 -p tcp -m tcp --dport <br><br>Предположим, что у объекта телепатии имется роутер-прокси, "пускающий" локальную сеть (интерфейс eth1 прокси, адреса 192.168.1.0/24) в Большой Плохой Интернет (интерфейс, ну, скажем, eth0 прокси, и реальный адрес 194.195.196.197) и стоит задача "спамеров давить!" = соединения про SMTP "наружу" не пускать...<br><br>Решим задачу с помощью генератора наборов правил iptables - [B]firehol[/B]:<br>---8&lt;---<br>version 5<br><br>USERS=192.168.1.0/24<br>PUBLIC_IP=194.195.196.197<br><br>snat to "$PUBLIC_IP" outface eth0 src "$USERS"<br><br>interface eth1 lan<br> server smtp accept<br><br>router 2inet outface eth0 inface eth1 src "$USERS"<br> server smtp reject<br>---&gt;8---<br><br>Правила iptables, сгенерённые firehol из этого конфига -- показывать?...<br><br>&gt;Которое успешно не работает. Не могу понять, почему. Ч https://opennet.ru/openforum/vsluhforumID10/3894.html#2 Wed, 23 Jul 2008 04:55:43 GMT &gt;&gt;-A INPUT -s 192.168.1.0/255.255.255.0 -d ! 192.168.1.1 -p tcp -m tcp --dport <br>&gt;&gt;25 -j REJECT --reject-with icmp-port-unreachable <br>&gt;&gt;<br>&gt;&gt;Которое успешно не работает. Не могу понять, почему. Что я сделал не <br>&gt;&gt;так? <br>&gt;<br>&gt;iptables -t nat -A POSTROUTING -p tcp --dport 25 -j DROP ? <br>&gt;<br><br>Судя по всему нет. -A PREROUTING.<br><br> https://opennet.ru/openforum/vsluhforumID10/3894.html#1 Tue, 22 Jul 2008 18:38:05 GMT &gt;Потребовалось запретить исходящие smtp-соединения на все серверы, кроме корпоративного почтовика. <br>&gt;Он по совместительству является шлюзом и расположен по адресу 192.168.1.1 <br>&gt;В имеющиеся цепочки было внесено первым для 25 порта вот такое правило <br>&gt;<br>&gt;<br>&gt;-A INPUT -s 192.168.1.0/255.255.255.0 -d ! 192.168.1.1 -p tcp -m tcp --dport <br>&gt;25 -j REJECT --reject-with icmp-port-unreachable <br>&gt;<br>&gt;Которое успешно не работает. Не могу понять, почему. Что я сделал не <br>&gt;так? <br><br>iptables -t nat -A POSTROUTING -p tcp --dport 25 -j DROP ?<br>