Gibt es eine iptables-Regel, die nur E-Mails an Port 25 zulässt?

662
user3094719

Gibt es eine Möglichkeit, Port 25 für alles außer der Mail-Kommunikation zu blockieren? Hatte noch kein Glück, eine Antwort darauf zu finden. Möglicherweise ist es möglich, jede Anwendung zu blockieren, die jedoch mit der obigen Verwendung zusammenhängt.

Ich verwende qmail, wenn das wichtig ist.

0
Nein, iptables blockiert keine Anwendungen. Daher können Sie Port 80 nicht auf Firefox mit iptables beschränken. Sie müssten alternative Tools wie Selinux oder Apparmor (oder ähnliches) (abhängig von Ihrer Distribution) untersuchen. Panther vor 10 Jahren 0
Sie können möglicherweise den String-Abgleich in iptables verwenden, um zu bestimmen, ob der Verkehr an Port 25 SMTP entspricht, dies wäre jedoch sehr schwierig. Die beste Wette besteht darin, iptables den Datenverkehr von Port 25 nur an den E-Mail-Server weiterleiten zu lassen und den E-Mail-Server entscheiden zu lassen, ob es sich um gültige E-Mails handelt, und dies zu verwerfen, falls dies nicht der Fall ist. Paul vor 10 Jahren 0
@ Paul laßt iptables den Port 25-Verkehr an den E-Mail-Server weiterleiten, es scheint fast genau so, wie ich es gesucht habe! Wie würde das ungefähr aussehen? user3094719 vor 10 Jahren 0
Was genau ist das Problem? Versuchen Sie, ausgehenden Datenverkehr auf Port 25 oder eingehenden Datenverkehr zu begrenzen? Eingehender Datenverkehr sollte bereits auf E-Mail beschränkt sein, da Sie nur Port 25 an den Server weiterleiten würden (sofern es sich nicht um einen Server in einem dmz / Internet handelt) und nur qmail an Port 25 empfangsbereit sein kann Port 25 für andere Dinge? Rik vor 10 Jahren 1

2 Antworten auf die Frage

1
aseaudi

Wenn auf Ihrem Host keine schädliche Software oder keine bestimmte Portzuordnung oder Routing ausgeführt wird, verwendet Ihre E-Mail-Anwendung höchstwahrscheinlich Port 25 als Socket und keine anderen Apps verwenden diesen Port.

Wenn andere Apps Datenverkehr an Port 25 auf Ihrem Host senden, liest Ihre Mail-App sie, stellt fest, dass sie keine Mail ist, und verwirft sie.

0
MariusMatutiae

Ich denke, Sie mischen möglicherweise verschiedene Themen. Wenn Sie qmail in der Standardkonfiguration ausführen, wird Port 25 überwacht. Sie können dies mit dem folgenden Befehl überprüfen:

 sudo ss -lntp | grep 25 

Dieser Befehl zeigt Ihnen den Prozess (die Option -p ), der an Port 25 überwacht wird .

Nun stellen wir uns vor, dass eine andere Anwendung als ein anderer PC Pakete an Ihren Port 25 sendet: Was wird passieren? Nichts, es sei denn, diese Anwendung fragt genau nach qmail . Daher besteht keine Notwendigkeit (und auch keine Möglichkeit), Anwendungen an einem bestimmten Port zu sperren. Wenn ein PC ein Paket sendet, das für eine Anwendung X bestimmt ist, an einen Port, von dem Y abhört, passiert nichts. Daher besteht keine Notwendigkeit (und keine Möglichkeit), iptables zum Sperren von Anwendungen zu verwenden .

Wenn Sie mir nicht glauben, versuchen Sie einfach, eine Webseite von Port 25 zu laden oder eine SSH-Verbindung herzustellen, und sehen Sie, was passiert.