Nat на определнные порты.
-
Нужно что бы только внутренний почтовый сервер мог отправлять почту во внешний мир (192.168.1.10) на хост провайдера (например х.х.х.х порт 25)
Ну и забирать мог только с определнного хоста у.у.у.у порт 110.
Никто другой не мог соединяться с портами 25 и 110 в инете :)И так же надо сделать, что бы пользователям локалки 192.168.1.0\24 в инете можно было соединяться только с портами 80, 443, 8080 (т.е исходящий трафик только на 80, 443 и 8080 порты).
Я новичек подскажите плиз, как это можно сделать?
-
Прописать на LAN RULES-правила типа
// разрешить служебные протоколы доступ к файрволу, ICMP DNS
allow any src=LAN_subnet port=any dst=LAN_interface port=any
allow icmp src=any port=any dst=any port=any
allow tcp/udp src=LAN_subnet port=any dst=any port=DNS// разрешить 25 порт для 192.168.1.10
allow tcp/udp src=192.168.1.10 port=any dst=х.х.х.х port=25
// запретить остальным
deny tcp/udp src=any port=any dst=!LanIP port=25
// разрешить 110 порт для 192.168.1.10
allow tcp/udp src=192.168.1.10 port=any dst=у.у.у.у port=110
// запретить остальным
deny tcp/udp src=any port=any dst=!LanIP port=110
// разрешить 80 443 8080
allow tcp/udp src=192.168.1.0\24 port=any dst=any port=80
allow tcp/udp src=192.168.1.0\24 port=any dst=any port=443
allow tcp/udp src=192.168.1.0\24 port=any dst=any port=8080
// запретить все остальное
deny any src=any port=any dst=any port=anyна WAN
// разрешить трафик с локалки
allow tcp/udp src=LAN_address port=any dst=any port=any
allow tcp/udp src=LAN_subnet port=any dst=any port=any
// запретить все остальное
deny any src=any port=any dst=any port=anyNAT разрешить на Lan src=192.168.1.0\24 - any, any, any, any, any
Рулить нат отдельно по каждому порту смысла не вижу Лучше управлять Rules на LAN -
Большое спасибо за быстрый ответ!
Все получилось!