IPCOP - zakázat odchozí port

Jsem IT správcem na škole, kde jsem letos o letních prázdninách nasadil do provozu IPCop jako náš firewall. Vše běží v pohodě, až na jeden problém, se kterým si neumím poradit:

Studenti zde mají možnost připojit své počítače k internetu. Dokázal jsem zajistit to, aby se k němu mohli připojit pouze ti, o kterých vím (a kteří za internet platí). Dokonce jsem zprovoznil on-line statistiku stahovaných dat pro jednotlivé IP… Problém však mám se spamovými databázemi (www.spamhaus.org, www.spamcop.net, atd.). Od začátku školního roku pátrám po zavirovaném počítači v naší síti, který posílá do internetu spam, díky jemuž se ocitáme mezi spamery, a proto od nás na některé servery neochází pošta (v síti máme vlastní mailserver). Jak jsem pochopil z přístupu některých studentů k problematice virů, problémových počítačů u nás bude hned několik.

Potřeboval bych tedy v IPCopu nastavit pravidla, která by umožňovala odesílat mailové zprávy pouze našemu mailserveru a všem dalším to zakázala (přístup do internetu na portu 25 aby měl pouze mailserver a ostatní ne). Bohužel vůbec netuším, jaký ad-on modul použít a jak ho nakonfigurovat. Copfilter nebo jiný antispam pro IPCopa se mi nasazovat nechce...

Díky za rady.

Předmět	Autor	Datum
Zkus se podívat sem: smtp_blocking_with_ipcop host 30.09.2007 21:53	host	30.09.2007 21:53
Pokial viem ipcop je nejaky linux alebo bsd klon cize tam bezia iptables. /usr/sbin/iptables -A INPU… fleg 30.09.2007 21:56	fleg	30.09.2007 21:56
IPCop jsem viděl naposledy asi před dvěma lety, takže přímo na otázku neodpovím. Ale k dohledávání s… HamHam 01.10.2007 15:22	HamHam	01.10.2007 15:22
na zakazani odchoziho trafiku ( ipcop defaultne bere interni sit jako trusted ) doinstaluj doplnek b… JR_Ewing 01.10.2007 15:26	JR_Ewing	01.10.2007 15:26
Tak se mi to podařilo, díky všem za nakopnutí :-D Do souboru /etc/rc.d/rc.firewall.local jsem přidal… poslední josefkul 16.10.2007 18:00	josefkul	16.10.2007 18:00

Zkus se podívat sem:
smtp_blocking_with_ipcop

Pokial viem ipcop je nejaky linux alebo bsd klon cize tam bezia iptables.
/usr/sbin/iptables -A INPUT -p tcp -s 10.100.0.0/16 -d 10.100.0.1 --dport 25 -j ACCEPT
/usr/sbin/iptables -A FORWARD -p tcp -s 10.100.0.0/16 -d 0/0 --dport 25 -j REJECT
Prve pravidlo povoluje smtp spojenie vsetkym pc zo siete 10.100.0.0/16 ale len ak je cielova adresa 10.100.0.1 (cize lokalny mail server).
Druhe pravidlo vsetky ostatne smtp spojenia jednoducho odmietne.

IPCop jsem viděl naposledy asi před dvěma lety, takže přímo na otázku neodpovím.
Ale k dohledávání spamovacích zombies používám tento příkaz:
tcpdump -i eth0 tcp and "tcp[tcpflags] & tcp-syn != 0" and dst port 25
Musí být samozřejmě spuštěn na routeru nebo na počítači, který je schopen odchytávat vaškerý provoz (použít hub nebo mirrorovaný port na switchi).
Nevím, jestli IPCop tcpdump obsahuje, ale určitě by tam šel doinstalovat.
Ten příkaz vypisuje defakto pokusy o nová spojení na vzdálený SMTP server.

na zakazani odchoziho trafiku ( ipcop defaultne bere interni sit jako trusted ) doinstaluj doplnek blockouttraffic
do tabulek v prikazovem radku netreba zasahovat. Musel bys to pridat i do "ulozenych tabulek" aby se nacetli i po restartu.

Tak se mi to podařilo, díky všem za nakopnutí
Do souboru /etc/rc.d/rc.firewall.local jsem přidal dva řádky:

/sbin/iptables -A CUSTOMFORWARD -p tcp -i eth0 -s 192.168.0.2 --dport 25 -j ACCEPT
/sbin/iptables -A CUSTOMFORWARD -p tcp -i eth0 -s 192.168.0.0/24 --dport 25 -j REJECT

první řádek: povolí odchozí smtp (port 25) spojení z 192.168.0.2
druhý řádek: zakáže všem PC v síti smtp spojení

Zpět do poradny Odpovědět na původní otázku Nahoru