内网只让收发邮件

### 如何配置内网策略仅允许收发邮件 为了实现内网环境中仅允许设备收发邮件的功能，可以通过防火墙规则来控制流量。以下是具体的解决方案： #### 使用 iptables 实现特定 MAC 地址的访问限制 通过 `iptables` 的扩展模块 `-m mac` 可以指定只允许某些 MAC 地址进行通信，而其他地址则被拒绝。这有助于进一步缩小攻击面并增强安全性。 ```bash iptables -I FORWARD -m mac ! --mac-source 00:0A:EB:97:79:A1 -j DROP ``` 上述命令表示除了 MAC 地址为 `00:0A:EB:97:79:A1` 的设备外，其余所有设备均无法转发数据包[^2]。 #### 开启 SMTP 和 IMAP/POP3 端口的同时封锁其他端口 SMTP（简单邮件传输协议）、IMAP（互联网消息访问协议）和 POP3（邮局协议第 3 版）是用于电子邮件的主要协议。它们分别运行在以下标准端口号上： - **SMTP**: 默认端口为 25, 465 (SSL), 或 587 (TLS)[^1] - **IMAP**: 默认端口为 143 (未加密) 或 993 (SSL/TLS) - **POP3**: 默认端口为 110 (未加密) 或 995 (SSL/TLS) 因此，在防火墙上需开放这些必要的端口，并关闭其他可能带来风险的服务端口。具体操作如下所示： ```bash # 清理现有规则 iptables -F # 接受来自外部世界的入站连接到本地主机上的邮箱服务端口 iptables -A INPUT -p tcp --dport 25 -j ACCEPT # 允许 SMTP 流量 iptables -A INPUT -p tcp --dport 465 -j ACCEPT # 允许安全 SMTPS 连接 iptables -A INPUT -p tcp --dport 587 -j ACCEPT # 允许提交模式下的 SMTP iptables -A INPUT -p tcp --dport 143 -j ACCEPT # 允许非加密 IMAP 访问 iptables -A INPUT -p tcp --dport 993 -j ACCEPT # 允许 SSL 加密后的 IMAP iptables -A INPUT -p tcp --dport 110 -j ACCEPT # 允许非加密 POP3 请求 iptables -A INPUT -p tcp --dport 995 -j ACCEPT # 允许 SSL 下的 POP3 登录尝试 # 拒绝除以上定义之外的一切传入请求 iptables -P INPUT DROP # 设置默认丢弃任何不符合前面规则的数据包 ``` #### 同步时间服务 NTP 安装指导 由于网络中的每台机器都需要保持精确的时间同步以便正确验证证书有效期等问题，所以建议部署 NTP 时间服务器或者客户端软件[^3]。对于在线系统来说可以直接利用 YUM/APT 软件源完成安装；而对于离线环境，则需要手动下载 RPM 文件或者其他形式的二进制包再上传至目标机执行安装过程。 ```bash # CentOS/RHEL 平台上启用 NTP 服务 yum install ntp -y systemctl start ntpd systemctl enable ntpd # Ubuntu/Debian 上的操作方法略有不同 apt-get update && apt-get install ntp -y service ntp restart ``` ---