我有一台运行CentOS 5.5并作为OpenVZ主机的服务器。 其中一个容器发送垃圾邮件,我需要阻止他连接到出站端口25的能力。我已经看了http://wiki.openvz.org/Setting_up_an_iptables_firewall ,但是这个设置是为了防止INCOMINGstream量和我还没有find阻止特定IP地址连接到OUTBOUND端口的工作IPTABLES规则。
我试过了:
iptables -I OUTPUT --source [CONTAINER_IP] --protocol tcp --destination-port 25 -j DROP
但这似乎并没有实际阻止它。 任何想法,将不胜感激。
OUTPUT表用于发送来自主机的stream量。 对于虚拟化,我不确定stream量是使用OUTPUT链,还是通过主机从虚拟设备路由,它可能会使用FORWARD链。 尝试在规则中用FORWARDreplaceOUTPUT。
凯尔·史密斯的回答是正确的,只有小的通知:这个规则必须放在任何其他FORWARD规则:
iptables -L
连锁FORWARD(政策接受)
目标人select源目的地
DROP tcp – [CONTAINER_IP]任何地方tcp dpt:smtp
RH-Firewall-1-INPUT全部在任何地方
的/ etc / SYSCONFIG / iptables的
:input接受[0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT – [0:0]
/ *阻止传出的25个端口的容器* /
-A FORWARD -p tcp –destination-port 25 -s [CONTAINER_IP] -j DROP
/ *主configuration* /
-Ainput-j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT