1 votes

John P avatar

Bloquer le trafic sortant du port 25 à partir d'IPs spécifiques sur l'hôte openvz

Demandé el 8 de Juin, 2011
Quand la question a-t-elle été
2259 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai un serveur fonctionnant sous CentOS 5.5 et faisant office d'hôte OpenVZ. L'un des conteneurs a envoyé du spam et j'ai besoin de bloquer sa capacité à se connecter au port 25 sortant. J'ai regardé http://wiki.openvz.org/Setting_up_an_iptables_firewall Mais cette configuration est destinée à empêcher le trafic entrant et je n'ai pas trouvé de règle IPTABLES fonctionnelle qui empêche une adresse IP spécifique de se connecter à un port sortant.

J'ai essayé :
iptables -I OUTPUT --source [CONTAINER_IP] --protocol tcp --destination-port 25 -j DROP
mais cela ne semble pas le bloquer réellement. Toute idée serait appréciée.

Demandé el 8 de Juin, 2011 par John P

Réponses

Trop de publicités?

3voto

Kyle Smith avatar
Kyle Smith Points 9443

La table OUTPUT est utilisée pour envoyer le trafic provenant de l'hôte. Avec la virtualisation, je ne suis pas sûr que le trafic utilise la chaîne OUTPUT ou qu'il soit acheminé depuis un périphérique virtuel. par le biais de l'hôte, il peut utiliser la chaîne FORWARD à la place. Essayez de remplacer OUTPUT par FORWARD dans votre règle.

Répondu el 8 de Juin, 2011 par Kyle Smith (9443 Points )

0voto

sergey avatar
sergey Points 1

La réponse de Kyle Smith est correcte avec une petite remarque : cette règle doit être placée avant toute autre règle FORWARD :

iptables -L

Chaîne FORWARD (politique ACCEPT)

cible prot opt source destination

DROP tcp -- [CONTAINER_IP] anywhere tcp dpt:smtp

RH-Firewall-1-INPUT all -- n'importe où n'importe où

/etc/sysconfig/iptables

INPUT ACCEPT [0:0]

FORWARD ACCEPTER [0:0]

OUTPUT ACCEPT [0:0]

RH-Firewall-1-INPUT - [0:0]

/* Bloquer le port 25 sortant pour les conteneurs */

-A FORWARD -p tcp --destination-port 25 -s [CONTAINER_IP] -j DROP

/* Configuration principale */

-A INPUT -j RH-Firewall-1-INPUT

-A FORWARD -j RH-Firewall-1-INPUT

Répondu el 9 de Juin, 2011 par sergey (1 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X