web-dev-qa-db-ja.com

ufwファイアウォールを介してGmailサーバーのすべての可能なIPを許可するにはどうすればよいですか?

現在、次のルールを使用しています。

ufw allow out from my_local_ip to any port 587

これは私の好みには少しゆるすぎます。私はそれを強化し、GmailのSMTPサーバーIPアドレスのみに制限したいと思いますが、それらは常に変化しています。発信メールが宛先に届かなくなるまで待ち、ブロックされたIPアドレスのsyslogを確認し、それをufw構成スクリプトに追加しました。しかし、今でははるかに高い信頼性が必要です。

Ufwでsmtp.gmail.comを使用する方法はありますか?私はそうは思わないが、私は尋ねると思った。他のアイデアはありますか?ありがとう。

更新

Izxの提案を受けて、whoisから次の(短縮)情報を取得しました。

$ whois 74.125.53.108

...

NetRange:74.125.0.0-74.125.255.255

CIDR:74.125.0.0/16

...

この情報を使用して、UFW構成スクリプトで次のコマンドを作成しました(他にも開く範囲があることに気付きました。これは単なる例です)。

ufw allow out from 192.168.2.5 to 74.125.0/24.0/24 port 587 

しかしufwはそれを好みません。だから私はそれを次のように変更しました:

ufw allow out from 192.168.2.5 to 74.125.0.0/24 port 587

このufwは受け入れましたが、明らかにこれは3番目のオクテットが0であるこの範囲のアドレスのみをブロックします。では、3番目のオクテットについても0-255を取得するにはどうすればよいですか

4
nomadicME

ドメインを定期的に解決し、ファイアウォールルールを最新のIPで更新するスクリプトが必要です。代わりに、次の方法を試してください。

このようなドメインには、多くの場合、複数のIPが関連付けられています。 Host domain.tldを使用してリストを取得します。

 $ホストsmtp.gmail.com 
 smtp.gmail.comはgmail-smtp-msa.l.google.com。
 gmail-smtp-msa.lのエイリアスです.google.comのアドレスは74.125.127.108 
 gmail-smtp-msa.l.google.comのアドレスは74.125.127.109 
です

しかし、あなたの質問に基づいて、これら2つはおそらく変化し続けます。したがって、ネットブロック全体をホワイトリストに登録することをお勧めします-whoisを使用しますIPを使用

 $ whois 74.125.127.108 
 
 NetRange:74.125.0.0-74.125.255.255 
 CIDR:74.125.0.0/16
OriginAS:
 NetName:GOOGLE 
 NetHandle:NET-74-125-0-0-1 
 Parent:NET-74-0-0-0-0 
 NetType:Direct割り当て
 RegDate:2007-03-13 
 Updated:2012-02-24 
 Ref:http://whois.arin.net/rest/net/NET-74- 125-0-0-1 
 ... 

NetRange/CIDRは、74.125.0.0/16のホワイトリストの対象を示します。 Googleはこの範囲のIPをsmtp.gmail.comに割り当てることができます

6
ish

次のコマンドは、いくつかのドメインを返します。

nslookup -q=TXT _spf.google.com 8.8.8.8

それぞれに対してnslookupを実行します。

nslookup -q=TXT _netblocks.google.com 8.8.8.8
nslookup -q=TXT _netblocks2.google.com 8.8.8.8
nslookup -q=TXT _netblocks3.google.com 8.8.8.8

From: http://support.google.com/a/bin/answer.py?hl=ja&answer=60764

2
dinnouti

無料のGMailと有料のGSuite GMailは異なるサーバーを使用します。私が実行するとき:

Sudo doveadm dump /home/vmail/acme.com/postmaster/Maildir | grep google.com

209.85.128.0/17の範囲内のアドレスを提供します。

ARINには、 GOGL に対するAPI応答もあります。

0
Martin Zeitler