URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5311
[ Назад ]

Исходное сообщение
"Запутолся с geoip+iptables"

Отправлено mplane , 02-Мрт-15 17:41 
Всем добрый день!
Пожалуйста хотелось бы посоветоваться, как сделать правильно.
Есть IPTABLES + GeoIP.
Хочу запретить входящие от всех стран кроме скажем 2х RU,UA. Но в довесок разрешить почту от "всех стран". И вот в почте, то затык.
Вариант первый без почты...
iptables -A INPUT ! -i lo -m geoip ! --source-country UA,RU -j DROP

Решил добавить разрешение для почты
iptables -A INPUT ! -i lo -p tcp -m multiport ! --dports 25,110,995,143,993 -m geoip ! --source-country UA,RU -j DROP
Вот где тут косяк? Почта с того же GMAIL не приходит. Да и с mail.ru тоже.?


Содержание

Сообщения в этом обсуждении
"Запутолся с geoip+iptables"
Отправлено PavelR , 02-Мрт-15 19:56 

Смотрим в таблицы

iptables -nvL


Порядок правил важен, правила проверяются до первого совпадения.


Тестируем с внешних хостов, смотрим на счетчики.


"Запутолся с geoip+iptables"
Отправлено mplane , 03-Мрт-15 11:03 
Вроде как получилось.
Вот: iptables -A INPUT  -m geoip ! --source-country UA,RU -p tcp -m multiport ! --dports 25,995,143,993,465,587 -j DROP

"Запутолся с geoip+iptables"
Отправлено greenwar , 16-Мрт-15 15:40 
> Решил добавить разрешение для почты
> iptables -A INPUT ! -i lo -p tcp -m multiport ! --dports
> 25,110,995,143,993 -m geoip ! --source-country UA,RU -j DROP
> Вот где тут косяк? Почта с того же GMAIL не приходит. Да
> и с mail.ru тоже.?

а как она придёт на lo то? она на внешний фейс приходит