В настоящее время я использую следующее правило:
ufw allow out from my_local_ip to any port 587
Это слишком слабо для меня. Я хотел бы затянуть его и ограничить его только IP-адресами smtp-сервера gmail, но они всегда меняются. Я просто подождал, пока исходящий адрес электронной почты не дойдет до места назначения, а затем проверьте syslog на заблокированный IP-адрес, а затем добавьте его в скрипт ufw configure. Однако теперь у меня есть потребность в гораздо большей надежности.
Можно ли использовать smtp.gmail.com в ufw? Я так не думаю, но подумал, что я спрошу. Любые другие идеи? Спасибо.
Обновить
Взяв предложение izx, я получил следующую (сокращенную) информацию от whois:
$ whois 74.125.53.108
...
NetRange: 74.125.0.0 - 74.125.255.255
CIDR: 74.125.0.0/16
...
Используя эту информацию, я создал следующую команду в моем скрипте конфигурации UFW (я понимаю, что есть другие диапазоны для открытия, это просто пример):
ufw allow out from 192.168.2.5 to 74.125.0/24.0/24 port 587
, но ufw это не нравится. Поэтому я изменил его на:
ufw allow out from 192.168.2.5 to 74.125.0.0/24 port 587
, этот ufw принят, но, очевидно, это заблокирует любой адрес в этом диапазоне с 0 в качестве третьего октета. Итак, как я могу получить от 0-255 для третьего октета?
Вам понадобится сценарий, который периодически разрешает домен и обновляет правила брандмауэра с помощью последнего IP-адреса. Вместо этого попробуйте этот метод:
Домены, подобные этим, часто имеют несколько связанных с ними IP-адресов. Используйте host domain.tld, чтобы получить список:
$ host smtp.gmail.com smtp.gmail.com is an alias for gmail-smtp-msa.l.google.com. gmail-smtp-msa.l.google.com has address 74.125.127.108 gmail-smtp-msa.l.google.com has address 74.125.127.109Но эти два, вероятно, продолжают меняться, основываясь на вашем вопросе. Так что лучше всего переименовать весь netblock - используйте whois с IP:
$ whois 74.125.127.108 NetRange: 74.125.0.0 - 74.125.255.255 CIDR: 74.125.0.0/16 OriginAS: NetName: GOOGLE NetHandle: NET-74-125-0-0-1 Parent: NET-74-0-0-0-0 NetType: Direct Allocation RegDate: 2007-03-13 Updated: 2012-02-24 Ref: http://whois.arin.net/rest/net/NET-74-125-0-0-1 .... [F5] / CIDR сообщают вам, что делать с белым списком - 74.125.0.0/16. Google может назначить любой IP-адрес в этом диапазоне smtp.gmail.com
Вам понадобится сценарий, который периодически разрешает домен и обновляет правила брандмауэра с помощью последнего IP-адреса. Вместо этого попробуйте этот метод:
Домены, подобные этим, часто имеют несколько связанных с ними IP-адресов. Используйте host domain.tld
, чтобы получить список:
$ host smtp.gmail.com smtp.gmail.com is an alias for gmail-smtp-msa.l.google.com. gmail-smtp-msa.l.google.com has address 74.125.127.108 gmail-smtp-msa.l.google.com has address 74.125.127.109
Но эти два, вероятно, продолжают меняться, основываясь на вашем вопросе. Так что лучше всего переименовать весь netblock - используйте whois
с IP:
$ whois 74.125.127.108 NetRange: 74.125.0.0 - 74.125.255.255 CIDR: 74.125.0.0/16 OriginAS: NetName: GOOGLE NetHandle: NET-74-125-0-0-1 Parent: NET-74-0-0-0-0 NetType: Direct Allocation RegDate: 2007-03-13 Updated: 2012-02-24 Ref: http://whois.arin.net/rest/net/NET-74-125-0-0-1 ...
. NetRange
/ CIDR
сообщают вам, что делать с белым списком - 74.125.0.0/16. Google может назначить любой IP-адрес в этом диапазоне smtp.gmail.com
Вам понадобится сценарий, который периодически разрешает домен и обновляет правила брандмауэра с помощью последнего IP-адреса. Вместо этого попробуйте этот метод:
Домены, подобные этим, часто имеют несколько связанных с ними IP-адресов. Используйте host domain.tld
, чтобы получить список:
$ host smtp.gmail.com smtp.gmail.com is an alias for gmail-smtp-msa.l.google.com. gmail-smtp-msa.l.google.com has address 74.125.127.108 gmail-smtp-msa.l.google.com has address 74.125.127.109
Но эти два, вероятно, продолжают меняться, основываясь на вашем вопросе. Так что лучше всего переименовать весь netblock - используйте whois
с IP:
$ whois 74.125.127.108 NetRange: 74.125.0.0 - 74.125.255.255 CIDR: 74.125.0.0/16 OriginAS: NetName: GOOGLE NetHandle: NET-74-125-0-0-1 Parent: NET-74-0-0-0-0 NetType: Direct Allocation RegDate: 2007-03-13 Updated: 2012-02-24 Ref: http://whois.arin.net/rest/net/NET-74-125-0-0-1 ...
. NetRange
/ CIDR
сообщают вам, что делать с белым списком - 74.125.0.0/16. Google может назначить любой IP-адрес в этом диапазоне smtp.gmail.com
Вам понадобится сценарий, который периодически разрешает домен и обновляет правила брандмауэра с помощью последнего IP-адреса. Вместо этого попробуйте этот метод:
Домены, подобные этим, часто имеют несколько связанных с ними IP-адресов. Используйте host domain.tld
, чтобы получить список:
$ host smtp.gmail.com smtp.gmail.com is an alias for gmail-smtp-msa.l.google.com. gmail-smtp-msa.l.google.com has address 74.125.127.108 gmail-smtp-msa.l.google.com has address 74.125.127.109
Но эти два, вероятно, продолжают меняться, основываясь на вашем вопросе. Так что лучше всего переименовать весь netblock - используйте whois
с IP:
$ whois 74.125.127.108 NetRange: 74.125.0.0 - 74.125.255.255 CIDR: 74.125.0.0/16 OriginAS: NetName: GOOGLE NetHandle: NET-74-125-0-0-1 Parent: NET-74-0-0-0-0 NetType: Direct Allocation RegDate: 2007-03-13 Updated: 2012-02-24 Ref: http://whois.arin.net/rest/net/NET-74-125-0-0-1 ...
. NetRange
/ CIDR
сообщают вам, что делать с белым списком - 74.125.0.0/16. Google может назначить любой IP-адрес в этом диапазоне smtp.gmail.com
Вам понадобится сценарий, который периодически разрешает домен и обновляет правила брандмауэра с помощью последнего IP-адреса. Вместо этого попробуйте этот метод:
Домены, подобные этим, часто имеют несколько связанных с ними IP-адресов. Используйте host domain.tld
, чтобы получить список:
$ host smtp.gmail.com smtp.gmail.com is an alias for gmail-smtp-msa.l.google.com. gmail-smtp-msa.l.google.com has address 74.125.127.108 gmail-smtp-msa.l.google.com has address 74.125.127.109
Но эти два, вероятно, продолжают меняться, основываясь на вашем вопросе. Так что лучше всего переименовать весь netblock - используйте whois
с IP:
$ whois 74.125.127.108 NetRange: 74.125.0.0 - 74.125.255.255 CIDR: 74.125.0.0/16 OriginAS: NetName: GOOGLE NetHandle: NET-74-125-0-0-1 Parent: NET-74-0-0-0-0 NetType: Direct Allocation RegDate: 2007-03-13 Updated: 2012-02-24 Ref: http://whois.arin.net/rest/net/NET-74-125-0-0-1 ...
. NetRange
/ CIDR
сообщают вам, что делать с белым списком - 74.125.0.0/16. Google может назначить любой IP-адрес в этом диапазоне smtp.gmail.com
Вам понадобится сценарий, который периодически разрешает домен и обновляет правила брандмауэра с помощью последнего IP-адреса. Вместо этого попробуйте этот метод:
Домены, подобные этим, часто имеют несколько связанных с ними IP-адресов. Используйте host domain.tld
, чтобы получить список:
$ host smtp.gmail.com smtp.gmail.com is an alias for gmail-smtp-msa.l.google.com. gmail-smtp-msa.l.google.com has address 74.125.127.108 gmail-smtp-msa.l.google.com has address 74.125.127.109
Но эти два, вероятно, продолжают меняться, основываясь на вашем вопросе. Так что лучше всего переименовать весь netblock - используйте whois
с IP:
$ whois 74.125.127.108 NetRange: 74.125.0.0 - 74.125.255.255 CIDR: 74.125.0.0/16 OriginAS: NetName: GOOGLE NetHandle: NET-74-125-0-0-1 Parent: NET-74-0-0-0-0 NetType: Direct Allocation RegDate: 2007-03-13 Updated: 2012-02-24 Ref: http://whois.arin.net/rest/net/NET-74-125-0-0-1 ...
. NetRange
/ CIDR
сообщают вам, что делать с белым списком - 74.125.0.0/16. Google может назначить любой IP-адрес в этом диапазоне smtp.gmail.com
Вам понадобится сценарий, который периодически разрешает домен и обновляет правила брандмауэра с помощью последнего IP-адреса. Вместо этого попробуйте этот метод:
Домены, подобные этим, часто имеют несколько связанных с ними IP-адресов. Используйте host domain.tld
, чтобы получить список:
$ host smtp.gmail.com smtp.gmail.com is an alias for gmail-smtp-msa.l.google.com. gmail-smtp-msa.l.google.com has address 74.125.127.108 gmail-smtp-msa.l.google.com has address 74.125.127.109
Но эти два, вероятно, продолжают меняться, основываясь на вашем вопросе. Так что лучше всего переименовать весь netblock - используйте whois
с IP:
$ whois 74.125.127.108 NetRange: 74.125.0.0 - 74.125.255.255 CIDR: 74.125.0.0/16 OriginAS: NetName: GOOGLE NetHandle: NET-74-125-0-0-1 Parent: NET-74-0-0-0-0 NetType: Direct Allocation RegDate: 2007-03-13 Updated: 2012-02-24 Ref: http://whois.arin.net/rest/net/NET-74-125-0-0-1 ...
. NetRange
/ CIDR
сообщают вам, что делать с белым списком - 74.125.0.0/16. Google может назначить любой IP-адрес в этом диапазоне smtp.gmail.com
74.125.0.0/16
. Для получения дополнительных IP-адресов, которые GMail может использовать, используйте команду dig _spf.google.com TXT
.
– Lekensteyn
4 June 2012 в 22:55
Следующая команда вернет пару доменов:
nslookup -q=TXT _spf.google.com 8.8.8.8
Запустите nslookup для каждого из них:
nslookup -q=TXT _netblocks.google.com 8.8.8.8
nslookup -q=TXT _netblocks2.google.com 8.8.8.8
nslookup -q=TXT _netblocks3.google.com 8.8.8.8
От: http://support.google. ком / а / bin / answer.py гектолитров = еп & амп;?
ответ = 60764Следующая команда вернет пару доменов:
nslookup -q=TXT _spf.google.com 8.8.8.8
Запустите nslookup для каждого из них:
nslookup -q=TXT _netblocks.google.com 8.8.8.8
nslookup -q=TXT _netblocks2.google.com 8.8.8.8
nslookup -q=TXT _netblocks3.google.com 8.8.8.8
От: http: // поддержка .google.com / а / bin / answer.py гектолитров = еп & амп;? ответ = 60764
Следующая команда вернет пару доменов:
nslookup -q=TXT _spf.google.com 8.8.8.8
Запустите nslookup для каждого из них:
nslookup -q=TXT _netblocks.google.com 8.8.8.8
nslookup -q=TXT _netblocks2.google.com 8.8.8.8
nslookup -q=TXT _netblocks3.google.com 8.8.8.8
От: http: // поддержка .google.com / а / bin / answer.py гектолитров = еп & амп;? ответ = 60764
Следующая команда вернет пару доменов:
nslookup -q=TXT _spf.google.com 8.8.8.8
Запустите nslookup для каждого из них:
nslookup -q=TXT _netblocks.google.com 8.8.8.8
nslookup -q=TXT _netblocks2.google.com 8.8.8.8
nslookup -q=TXT _netblocks3.google.com 8.8.8.8
От: http: // поддержка .google.com / а / bin / answer.py гектолитров = еп & амп;? ответ = 60764
Следующая команда вернет пару доменов:
nslookup -q=TXT _spf.google.com 8.8.8.8
Запустите nslookup для каждого из них:
nslookup -q=TXT _netblocks.google.com 8.8.8.8
nslookup -q=TXT _netblocks2.google.com 8.8.8.8
nslookup -q=TXT _netblocks3.google.com 8.8.8.8
От: http: // поддержка .google.com / а / bin / answer.py гектолитров = еп & амп;? ответ = 60764
Следующая команда вернет пару доменов:
nslookup -q=TXT _spf.google.com 8.8.8.8
Запустите nslookup для каждого из них:
nslookup -q=TXT _netblocks.google.com 8.8.8.8
nslookup -q=TXT _netblocks2.google.com 8.8.8.8
nslookup -q=TXT _netblocks3.google.com 8.8.8.8
От: http: // поддержка .google.com / а / bin / answer.py гектолитров = еп & амп;? ответ = 60764
Следующая команда вернет пару доменов:
nslookup -q=TXT _spf.google.com 8.8.8.8
Запустите nslookup для каждого из них:
nslookup -q=TXT _netblocks.google.com 8.8.8.8
nslookup -q=TXT _netblocks2.google.com 8.8.8.8
nslookup -q=TXT _netblocks3.google.com 8.8.8.8
От: http: // поддержка .google.com / а / bin / answer.py гектолитров = еп & амп;? ответ = 60764
Следующая команда вернет пару доменов:
nslookup -q=TXT _spf.google.com 8.8.8.8
Запустите nslookup для каждого из них:
nslookup -q=TXT _netblocks.google.com 8.8.8.8
nslookup -q=TXT _netblocks2.google.com 8.8.8.8
nslookup -q=TXT _netblocks3.google.com 8.8.8.8
От: http: // поддержка .google.com / а / bin / answer.py гектолитров = еп & амп;? ответ = 60764