Iptables, exim, почта только с одного IP?

Question

[Николай]

Каким образом с помощью iptables или настройки exim можно реализовать получение почты почтовым сервером только с одного/нескольких конкретных узлов?


Т.е. хочется, чтоб на почтовый сервер почта доходила только с IP: 22.33.44.55 и 66.77.88.99 и ни с каких больше.


OS:

####@###:/# uname -a<br/>
Linux ######## 2.4.16 #25 Чтв Авг 1 13:29:04 SAMST 2002 i686 unknown<br/>

Спасибо!

Answer 1

[Ivan Komarov]

exim.conf
hostlist relay from hosts = 22.33.44.55:66.77.88.99


Comments

[Ivan Komarov]

Случайно отправил, извините
exim.conf
hostlist relay_from_hosts = 22.33.44.55:66.77.88.99
и в acl
acl_check_rcpt:
только
accept hosts +relay_from_hosts

[Ivan Komarov]

и да,
acl_smtp_rcpt acl_check_rcpt

Answer 2

[Ivan Komarov]

а в iptables примерно так:
/sbin/iptables -A INPUT -p tcp -m tcp -s 0.0.0.0/0 -i interface --dport 25 -j DROP
/sbin/iptables -A OUTPUT -p tcp -m tcp -d 0.0.0.0/0 -o interface --sport 25 -j DROP

/sbin/iptables -A INPUT -p tcp -m tcp -s 22.33.44.55/32 -i interface --dport 25 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp -d 22.33.44.55/32 -o interface --sport 25 -j ACCEPT

/sbin/iptables -A INPUT -p tcp -m tcp -s 66.77.88.99/32 -i interface --dport 25 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp -d 66.77.88.99/32 -o interface --sport 25 -j ACCEPT


Comments

[shadowalone]

а OUTPUT то зачем блокировать только на эти хосты? Достаточно INPUT на 25 порт.

[shadowalone]

И да, сначала надо разрешать, а потом блокировать, а не наоборот.
Ваши правила просто тупо заблокируют все на 25 порт свой и со со своего 25 порта, нижние правила не будут работать вообще, потому как вышестоящее правило блокирует всё.

[shadowalone]

Вот так примерно:
/sbin/iptables -A INPUT -m state --state NEW -p tcp -s 22.33.44.55 --dport 25 -j ACCEPT

/sbin/iptables -A INPUT -m state --state NEW -p tcp -s 66.77.88.99 --dport 25 -j ACCEPT

/sbin/iptables -A INPUT -m state --state NEW -p tcp --dport 25 -j DROP

[Ivan Komarov]

Ключевое слово было примерно.