회사 네트워크에서 개인 이메일을 차단하기 위해 및 을 FORWARD차단 했습니다 . 이러한 주소를 해결하는 방법은 다음과 같습니다 .mail.google.commail.live.comiptables
$ sudo iptables -L
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Mail-Forward-Block all -- anywhere anywhere
Chain Mail-Forward-Block (2 references)
target prot opt source destination
REJECT all -- anywhere lhr14s24-in-f5.1e100.net reject-with icmp-port-unreachable
REJECT all -- anywhere lhr08s07-in-f5.1e100.net reject-with icmp-port-unreachable
REJECT all -- anywhere origin.du113w.dub113.mail.live.com reject-with icmp-port-unreachable
REJECT all -- anywhere origin.du114w.dub114.mail.live.com reject-with icmp-port-unreachable
nslookup비교를 위해( 192.168.0.10Samba는 내부 DNS를 실행하고 조회를 전달합니까 8.8.8.8?):
$ nslookup mail.google.com
Server: 192.168.0.10
Address: 192.168.0.10#53
Non-authoritative answer:
mail.google.com canonical name = googlemail.l.google.com.
Name: googlemail.l.google.com
Address: 216.58.208.69
$ nslookup mail.live.com
Server: 192.168.0.10
Address: 192.168.0.10#53
Non-authoritative answer:
mail.live.com canonical name = dispatch.kahuna.glbdns2.microsoft.com.
Name: dispatch.kahuna.glbdns2.microsoft.com
Address: 157.56.195.156
Name: dispatch.kahuna.glbdns2.microsoft.com
Address: 157.55.235.51
분명히 그것은 아무것도 멈추지 않았습니다. 동일한 규칙을 다시 추가하면 iptable주소가 동일 해집니다 nslookup. 그런데 왜 그런 차이가 있는 걸까요? iptable역방향 DNS 조회를 수행하여 해당 도메인과 일치하는지 확인할 수는 없나요 ?
답변1
짧은 대답: 아니요. iptables규칙은 도메인 이름이 아닌 IP 주소에 영향을 미칩니다. 이것이 바로 iptables라고 불리는 이유입니다.
iptables가 작동하는 네트워크 계층에서 도메인 이름은 본질적으로 관련이 없습니다. iptables 규칙과 함께 도메인 이름을 사용하면 DNS 조회가 수행되고 도메인 이름이 IP 주소로 확인되며 특정 순간의 IP 주소가 규칙에 사용됩니다. 도메인이 업데이트되고 A 레코드가 다른 IP를 가리키는 경우 iptables는 변경 사항을 인식하지 못합니다.
수행하려는 작업(Gmail과 같은 특정 웹사이트 차단)을 사용하는 것이 가장 좋습니다 . 이를 통해 네트워크 사용량을 기록하고 모니터링할 수 있으며 허용/거부 목록을 관리하는 데 도움이 되는 squid몇 가지 추가 기능이 있습니다 .squidguard
외부 smtp에 대한 액세스를 차단하려면 관련 포트(예: 25, 465, 587)를 차단하여 네트워크의 로컬 컴퓨터가 메일을 제어할 수 있는 로컬 smtp 게이트웨이를 사용하도록 합니다.