Permitir tráfico en redes privadas y denegar acceso a Internet con iptables (IPv4)
Redes privadas: http://en.wikipedia.org/wiki/Reserved_IP_addresses
Ejemplo: Denegar acceso a tráfico SMTP (puerto 25) fuera de redes privadas, es decir, no se podrá enviar correos con salida a Internet. Es algo útil en entornos de comercio electrónico donde los programadores tienen copia en local de servidores en producción, de esta forma se impide que los clientes de la base de datos puedan recibir accidentalmente correos electrónicos de parte de esos clones del servidor en producción.
Por supuesto esta es solo una medida extra de seguridad y debe tratarse como tal, está orientada a hacer de cortapisas si todas las otras configuraciones fallan o por error son deshabilitadas.
Fichero de configuración de iptables: /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A OUTPUT -p tcp --dport 25 -d 127.0.0.0/8 -j ACCEPT -A OUTPUT -p tcp --dport 25 -d 10.0.0.0/8 -j ACCEPT -A OUTPUT -p tcp --dport 25 -d 100.64.0.0/10 -j ACCEPT -A OUTPUT -p tcp --dport 25 -d 169.254.0.0/16 -j ACCEPT -A OUTPUT -p tcp --dport 25 -d 172.16.0.0/12 -j ACCEPT -A OUTPUT -p tcp --dport 25 -d 172.0.0.0/16 -j ACCEPT -A OUTPUT -p tcp --dport 25 -d 192.0.0.0/29 -j ACCEPT -A OUTPUT -p tcp --dport 25 -d 192.0.2.0/24 -j ACCEPT -A OUTPUT -p tcp --dport 25 -d 192.168.0.0/16 -j ACCEPT -A OUTPUT -p tcp --dport 25 -d 198.18.0.0/15 -j ACCEPT -A OUTPUT -p tcp --dport 25 -d 198.51.100.0/24 -j ACCEPT -A OUTPUT -p tcp --dport 25 -d 203.0.113.0/24 -j ACCEPT -A OUTPUT -p tcp --dport 25 -j DROP COMMIT
service iptables restart