web-dev-qa-db-fra.com

Comment autoriser toutes les adresses IP possibles des serveurs Gmail via mon pare-feu ufw?

J'utilise actuellement la règle suivante:

ufw allow out from my_local_ip to any port 587

C'est un peu trop laxiste à mon goût. Je voudrais le resserrer et le limiter aux seules adresses IP du serveur smtp de gmail, mais elles changent constamment. J'avais l'habitude d'attendre qu'un email sortant ne parvienne pas à sa destination, puis de vérifier l'adresse IP bloquée dans syslog, puis de l'ajouter au script de configuration ufw. Cependant, j'ai maintenant besoin de beaucoup plus de fiabilité.

Est-il possible d'utiliser smtp.gmail.com dans ufw? Je ne pense pas, mais je pensais demander. D'autres idées? Merci.

Mise à jour

En suivant la suggestion d’izx, j’ai obtenu l’information suivante (abrégée) de whois:

$ whois 74.125.53.108

...

NetRange: 74.125.0.0 - 74.125.255.255

CIDR: 74.125.0.0/16

...

En utilisant cette information, j'ai créé la commande suivante dans mon script de configuration ufw (je réalise qu'il y a d'autres plages à ouvrir, ce n'est qu'un exemple):

ufw allow out from 192.168.2.5 to 74.125.0/24.0/24 port 587

mais ufw n'aime pas ça. Alors je l'ai changé pour:

ufw allow out from 192.168.2.5 to 74.125.0.0/24 port 587

cette ufw a été acceptée mais cela ne bloquera évidemment que les adresses de cette plage avec 0 comme troisième octet. Alors, comment puis-je passer de 0 à 255 pour le troisième octet également?

dnsfirewalliptablesgmailufw
4
nomadicME

Vous aurez besoin d'un script qui résout périodiquement le domaine et met à jour les règles de pare-feu avec la dernière adresse IP. Au lieu de cela, essayez cette méthode:

De tels domaines ont souvent plusieurs adresses IP associées. Utilisez Host domain.tld pour obtenir une liste:

 $ Hôte smtp.gmail.com 
 Smtp.gmail.com est un alias pour gmail-smtp-msa.l.google.com. 
 Gmail-smtp-msa.l .google.com a l'adresse 74.125.127.108 
 gmail-smtp-msa.l.google.com a l'adresse 74.125.127.109

Mais ces deux aussi continuent probablement à changer, en fonction de votre question. Il est donc préférable d’inscrire le netblock au complet dans la liste blanche - utilisez whoisavec l’IP:

 $ whois 74.125.127.108 
 
 NetRange: 74.125.0.0 - 74.125.255.255 
 CIDR: 74.125.0.0/16
OriginAS: 
 NetName: GOOGLE 
 NetHandle: NET-74-125-0-0-1 
 Parent: NET-74-0-0-0-0 
 NetType: Direct Affectation 
 Date d'enregistrement: 2007-03-13 
 Mise à jour: 2012-02-24 
 Voir: http://whois.arin.net/rest/net/NET-74- 125-0-0-1 
 ...

Le NetRangename __/CIDRvous indique ce que vous souhaitez ajouter à la liste blanche - 74.125.0.0/16. Google pourrait attribuer n'importe quelle adresse IP de cette plage à smtp.gmail.com.

6
ish

La commande suivante renverra quelques domaines:

nslookup -q=TXT _spf.google.com 8.8.8.8

Lancer un nslookup pour chacun:

nslookup -q=TXT _netblocks.google.com 8.8.8.8
nslookup -q=TXT _netblocks2.google.com 8.8.8.8
nslookup -q=TXT _netblocks3.google.com 8.8.8.8

De: http://support.google.com/a/bin/answer.py?hl=fr&answer=60764

2
dinnouti

gMail gratuit et payant GSuite GMail utilise différents serveurs; parce que quand je cours:

Sudo doveadm dump /home/vmail/acme.com/postmaster/Maildir | grep google.com

il me donne des adresses dans la plage 209.85.128.0/17.

ARIN a même une réponse API pour GOGL .

0
Martin Zeitler