阻止來自 openvz 主機上特定 IP 的 OUTGOING 埠 25 流量
我有一台執行 CentOS 5.5 並充當 OpenVZ 主機的伺服器。其中一個容器一直在發送垃圾郵件,我需要阻止他連接到出站埠 25。我查看了http://wiki.openvz.org/Setting_up_an_iptables_firewall,但此設置是為了防止傳入流量,我沒有找到阻止特定 IP 地址連接到 OUTBOUND 埠的有效 IPTABLES 規則。
我試過了:
iptables -I OUTPUT --source [CONTAINER_IP] --protocol tcp --destination-port 25 -j DROP
但這似乎並沒有真正阻止它。任何想法,將不勝感激。
OUTPUT 表用於發送源自主機的流量。對於虛擬化,我不確定流量是否使用 OUTPUT 鏈,或者當它通過主機從虛擬設備路由時,它可能會使用 FORWARD 鏈。嘗試在規則中將 OUTPUT 替換為 FORWARD。
凱爾史密斯的回答是正確的,但需要注意的是:必須將此規則置於任何其他 FORWARD 規則之前:
iptables -L
Chain FORWARD(政策接受)
目標 prot opt 源目標
刪除 tcp –
$$ CONTAINER_IP $$ 任何地方 tcp dpt:smtp RH-Firewall-1-INPUT all – 任何地方任何地方
/etc/sysconfig/iptables
:輸入接受
$$ 0:0 $$ :轉發接受
$$ 0:0 $$ :輸出接受
$$ 0:0 $$ :RH-Firewall-1-INPUT -
$$ 0:0 $$ /* 阻塞容器的傳出 25 埠 */
-A 轉發 -p tcp –destination-port 25 -s
$$ CONTAINER_IP $$-j 刪除 /* 主要配置 */
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT