Ich habe eine Reihe öffentlicher IPs hinter einem Debian-Router, der mit VMs verbunden ist. Ich möchte, dass eine bestimmte IP Port 25 für ausgehende Verbindungen nicht verwenden kann.
Ich habe /sbin/iptables -A OUTPUT -o ens19 -p tcp --destination-port 25 -s xxx.xxx.xxx.xxx -j DROP zusammen mit mehreren anderen Befehlskombinationen ausprobiert, aber ich bekomme es nicht zum Laufen. Es blockiert ausgehende Ports auf dem Router problemlos, aber nicht für Systeme dahinter.
Antwort1
OUTPUTstammt von der Maschine selbst. Um weitergeleiteten Datenverkehr zu blockieren, benötigen Sie FORWARDFolgendes:
iptables -A FORWARD -p tcp --dport 25 -s xxx.xxx.xxx.xxx -j DROP
Außerdem wird dies übersprungen -o ens, da Sie wahrscheinlich Port 25 von dieser IP blockieren möchten, unabhängig davon, über welche Schnittstelle er hinausgeht, und da es in den Tabellen mehrere Stellen gibt, an denen einige Informationen nicht verfügbar sind. Je weniger Spezifikationen, desto weniger kann schiefgehen.