iptables allow incoming / outgoing SMTP on Multi-WAN

ถ้าเครื่อง Gateway ทำหน้าที่เป็นทั้ง Mail Gateway และ Internet Gateway เรื่องของความปลอดภัยหรือ Firewall ต้องมีการตรวจสอบเรื่องของการเปิดพอรต์อยู่ตลอด เนื่องจาก Firewall ประเภท Software ยังมีจุดด้อยอยู่.

นี่เป็นตัวอย่างการเปิดพอร์ต 25 สำหรับ Mail Gateway โดยใช้ iptables

#Allows incoming/outgoing SMTP Server
#อนุญาตให้ติดต่อสือสารผ่านพอร์ต 25 ทั้งขาเข้าและขาออกผ่านทาง IP WAN ($SERVER_IP)

iptables -A INPUT -p tcp -s 0/0 –sport 1024:65535 -d $SERVER_IP –dport 25 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s $SERVER_IP –sport 25 -d 0/0 –dport 1024:65535 -m state –state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s $SERVER_IP –sport 1024:65535 -d 0/0 –dport 25 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 –sport 25 -d $SERVER_IP –dport 1024:65535 -m state –state ESTABLISHED -j ACCEPT

#Allows incoming SMTP LOCAL
#อนุญาตให้เครือข่ายภายในของเราสามารถให้ smtp server ได้

iptables -A INPUT -p tcp -s 192.168.1.0/24 –dport 25 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s $LOCAL_IP –sport 1024:65535 -d 192.168.1.0/24 –dport 25 -m state –state NEW,ESTABLISHED -j ACCEPT

#Block all traffic SMTP
#ปฎิเสธการติดต่อผ่านพอร์ต 25 ทั้งขาเข้าและขาออก

iptables -A INPUT -p tcp –dport 25 -j REJECT
iptables -A OUTPUT -p tcp –dport 25 -j REJECT

การทดสอบ ก็ให้ลองใช้คำสั่ง telnet มาที่ IP WAN ที่เราเปิดไว้ว่าติดต่อได้ไหม แล้วก็ telnet มายัง IP WAN ที่ไม่ได้เปิดว่าถูกปฎิเสธ ถูกต้องไหม (telnet จาก Server ออกไปแล้วก็ telnet จาก Client เข้ามา)

หลักการก็คืออนุญาตหรือกำหนดอินเตอร์เฟตให้กับพอร์ต 25 (smtp) ทั้งขาเข้าและขาออก เช่น ให้ใช้ smtp ที่ Interface ppp1 เท่านั้น
ถ้าเกิด ppp1 down ก็แสดงว่าจะไม่สามารถส่งออกได้

หลังจากที่อนุญาตและกำหนดถูกต้องแล้ว ก็ Block all traffic ทั้งหมดไป ตามลำดับของคำสั่ง iptables จากข้างบนครับ.

Leave a Reply

Your email address will not be published. Required fields are marked *

Please validate : * Time limit is exhausted. Please reload CAPTCHA.