Linux

阻止來自 openvz 主機上特定 IP 的 OUTGOING 埠 25 流量

  • June 9, 2011

我有一台執行 CentOS 5.5 並充當 OpenVZ 主機的伺服器。其中一個容器一直在發送垃圾郵件,我需要阻止他連接到出站埠 25。我查看了http://wiki.openvz.org/Setting_up_an_iptables_firewall,但此設置是為了防止傳入流量,我沒有找到阻止特定 IP 地址連接到 OUTBOUND 埠的有效 IPTABLES 規則。

我試過了:

iptables -I OUTPUT --source [CONTAINER_IP] --protocol tcp --destination-port 25 -j DROP

但這似乎並沒有真正阻止它。任何想法,將不勝感激。

OUTPUT 表用於發送源自主機的流量。對於虛擬化,我不確定流量是否使用 OUTPUT 鏈,或者當它通過主機從虛擬設備路由時,它可能會使用 FORWARD 鏈。嘗試在規則中將 OUTPUT 替換為 FORWARD。

凱爾史密斯的回答是正確的,但需要注意的是:必須將此規則置於任何其他 FORWARD 規則之前:

iptables -L

Chain FORWARD(政策接受)

目標 prot opt 源目標

刪除 tcp –

$$ CONTAINER_IP $$ 任何地方 tcp dpt:smtp RH-Firewall-1-INPUT all – 任何地方任何地方

/etc/sysconfig/iptables

:輸入接受

$$ 0:0 $$ :轉發接受

$$ 0:0 $$ :輸出接受

$$ 0:0 $$ :RH-Firewall-1-INPUT -

$$ 0:0 $$ /* 阻塞容器的傳出 25 埠 */

-A 轉發 -p tcp –destination-port 25 -s

$$ CONTAINER_IP $$-j 刪除 /* 主要配置 */

-A INPUT -j RH-Firewall-1-INPUT

-A FORWARD -j RH-Firewall-1-INPUT

引用自:https://serverfault.com/questions/278267