K tomu aby nikdo z tvé interní sítě (klientů) nerozesílal spam (a neocuchaval ostatni na portech pro sdileni) potřebuješ přidat do iptables:
Kód:
iptables -A FORWARD -o externi_interface -p TCP --dport 25 -d DNS_nebo_IP_adresa_SMTP_serveru_ktery_pouzivas -j ACCEPT
iptables -A FORWARD -o externi_interface -p TCP -m multiport --dport 25,135-139,445 -j REJECT #pripadne misto REJECT muzes dat DROP
iptables -A FORWARD -o externi_interface -p UDP -m multiport --dport 135-139,445 -j REJECT #pripadne misto REJECT muzes dat DROP
Já osobně preferuji obrácený postup firewall rules jsou nastaveny na DROP (vše je zakázané) a povoluji jen ty porty, který mají smysl případně specifické jen do určitých subnetů. V následujícím příkladu jsou pravidla pro klienty, kteří mohou na internet (to znamená ve FORWARDu je pravidlo se zdrojovou IP a odchozí externí interface, ktere vola Fwd-Allowed)
Kód:
iptables -A Fwd-Allowed -p TCP -d smtp.chello.cz --dport smtp -j $ACCEPT
iptables -A Fwd-Allowed -p TCP -m multiport --dports 21,22,53,http,https,pop3,pop3s,imap,imaps,8080,8081,5190 -j $ACCEPT
iptables -A Fwd-Allowed -p UDP -m multiport --dports 37,53,123 -j $ACCEPT