Tengo montado una red basica, con un RH9 como firewall y servidor de algunos servicios sobre un enlace dedicado con IP fija. Este reparte internet hacia la red interna por medio de iptables.
Necesito poder bloquear para la red interna las conexiones hacia los puertos 25 para que por ejemplo los virus no puedan conectarse para enviar mails masivos. Obvio que al mailserver si lo vamos a dejar
No estoy seguro de donde colocar la regla, probe bajo la cadena NAT en PREROUTING Y POSTROUTING pero no me funciono.
Gracias de antemano.
Esta es mi configuracion actual de iptables:
Código:
*nat :OUTPUT ACCEPT [0:0] :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A POSTROUTING -o eth0 -j MASQUERADE -A PREROUTING -p tcp -m tcp -i eth0 --dport 1723 -j DNAT --to-destination 172.16.0.20:1723 -A PREROUTING -p gre -i eth0 -j DNAT --to-destination 172.16.0.20 -A PREROUTING -p tcp -m tcp -i eth0 --dport 25 -j DNAT --to-destination 172.16.0.30:25 COMMIT *mangle :PREROUTING ACCEPT [1904:143533] :INPUT ACCEPT [1904:143533] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [1995:739058] :POSTROUTING ACCEPT [1995:739058] COMMIT *filter :FORWARD ACCEPT [0:0] :INPUT DROP [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -i eth1 -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT -A INPUT -m state --state ESTABLISHED -j ACCEPT -A INPUT -m state --state RELATED -j ACCEPT -A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p udp -m udp --dport 53 -j ACCEPT -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -p icmp -j ACCEPT COMMIT