>> >> # Generated by iptables-save v1.4.4 on Thu May 27 13:52:33 2010 >> *filter >> :INPUT DROP >> :FORWARD DROP >> :OUTPUT DROP >> -A INPUT -i lo -j ACCEPT >> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT >> -A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 80 -j >> ACCEPT >> -A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 25 -j >> ACCEPT >> -A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 443 -j >> ACCEPT >> -A INPUT -m limit --limit 2/min --limit-burst 2 -j LOG --log-prefix >> "** INPUT DROP **" >> -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT >> -A INPUT -p udp -m udp --dport 53 -j ACCEPT >> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT >> -A FORWARD -p udp -m udp --dport 53 -j ACCEPT >> -A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT >> -A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT >> -A FORWARD -s 10.10.48.0/22 -p tcp -m tcp --dport 80 -j ACCEPT >> -A FORWARD -s 10.10.48.0/22 -p tcp -m tcp --dport 5050 -j ACCEPT >> -A FORWARD -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT >> -A FORWARD -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT >> -A FORWARD -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT >> -A FORWARD -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT >> -A FORWARD -m limit --limit 2/min --limit-burst 2 -j LOG --log-prefix >> "** FORWARD DROP **" >> -A OUTPUT -o lo -j ACCEPT >> -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT >> -A OUTPUT -m limit --limit 2/min --limit-burst 2 -j LOG --log-prefix >> "** OUTPUT DROP **" >> -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT >> -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT >> -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT >> -A OUTPUT -d MAIL.SERVER.PUBLIC.IP -p tcp -m tcp --dport 25 -j ACCEPT >> COMMIT >> # Completed on Thu May 27 13:52:33 2010 >> # Generated by iptables-save v1.4.4 on Thu May 27 13:52:33 2010 >> *nat >> :PREROUTING ACCEPT >> :POSTROUTING ACCEPT >> :OUTPUT ACCEPT >> -A PREROUTING ! -s MAIL.SERVER.PUBLIC.IP -i eth0 -p tcp -m tcp --dport >> 25 -j DNAT --to-destination MAIL.SERVER.PUBLIC.IP:25 >> -A PREROUTING ! -s MAIL.SERVER.PUBLIC.IP -i eth0 -p tcp -m tcp --dport >> 110 -j DNAT --to-destination MAIL.SERVER.PUBLIC.IP:110 >> -A PREROUTING -p tcp -m tcp --dport 443 -j ACCEPT >> -A POSTROUTING -o eth0 -j MASQUERADE >> COMMIT >> # Completed on Thu May 27 13:52:33 2010 >> >> Tambahan info : >> >> 10.10.48.0/22 : jaringan lokal, lewat eth1 >> Firewall dengan iptables di Ubuntu 10.04 di mesin terpisah dari mail >> server. >> Mail server menggunakan IP public (mohon pencerahannya juga kalau ini >> tidak tepat) >> >> Terima kasih sebelumnya. >> >> BR >> >> Tanya >> > > jika merubah default policy dari ACCEPT ke DROP maka baris INPUT/OUTPUT > iptables untuk smtp port seperti ini > > INPUT > aslinya: > -A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 25 -j > ACCEPT > > menjadi: > -A INPUT -d MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 25 -j > ACCEPT > > OUPUT > aslinya: > -A OUTPUT -d MAIL.SERVER.PUBLIC.IP -p tcp -m tcp --dport 25 -j ACCEPT > > menjadi: > -A OUTPUT -s MAIL.SERVER.PUBLIC.IP -p tcp -m tcp --dport 25 -j ACCEPT > > demikian pula dengan service port yg lain > > cmiiw > > wassalam >
salam tambahan, maksudnya mail server berbeda mesin dengan firewall ? kalau begitu apakah DNAT dimaksudkan untuk mengalihkan trafik mail ke mesin yang berbeda karena anda hanya memiliki satu ip publik ? Kalau iya, berarti rule DNAT-nya harus dirubah (saya mengambil kesimpulan demikian karena saya melihat rule forward untuk port 25 dari dalam ke luar, tetapi tidak ada rule untuk menerima forward dari luar ke dalam) pertama prerouting -A PREROUTING -d MAIL.SERVER.PUBLIC.IP -i eth0 -p tcp --dport25 -j DNAT --to-destination MAIL.SERVER.LOCAL.IP:25 kedua terima forward trafik yang sudah anda DNAT -A FORWARD -i eth0 -p tcp -d MAIL.SERVER.LOCAL.IP --dport 25 -j ACCEPT saya anggap eth0 menghadap ke luar, sedangkan eth1 menghadap ke dalam karena sepertinya di rule anda membaliknya, berbeda dengan yang anda katakan. wassalam ic -- Imam Cartealy Linux registered user #481374 Surat elektronik ini bersifat rahasia dan bisa berisikan informasi yang bersifat pribadi. Anda tidak diperkenankan untuk menggandakan, menggunakan ataupun mengungkapkan surat elektronik ini dalam bentuk apapun kepada siapapun. Penggunaan ataupun penyebaran surat elektronik ini dalam bentuk apapun kepada pihak lain adalah diluar tanggung jawab penulis. Surat elektronik ini termasuk tambahan yang diikutkan dalam surat elektronik ini ditujukan hanya untuk penerima. Jika Anda bukan orang yang dimaksudkan oleh penulis sebagai penerima surat elektronik ini, Anda tidak diperbolehkan untuk mengambil tindakan apapun terhadap surat elektronik ini dan menunjukkannya kepada siapapun. Jika Anda menerima surat elektronik ini karena kesalahan, mohon beritahukan penulis dan segera menghapusnya.
