[РЕШЕНО] Проблемка с правилами

Destiny · Feb 8, 2010, 8:11 AM

Настроил разрешающие правила,все работает,настроил запрещающие,тоже все работает,а вот последнее что мне надо настроить не получается. Вообщем, надо одной машине запретить доступ ко всему кроме POP и SMTP,как не бился,какие только правила не придумывал,не хочет работать и все тут (( Подскажите как оно должно выглядеть.

Заранее благодарю за ответ.

garald50 · Feb 8, 2010, 8:15 AM

@Destiny:

Настроил разрешающие правила,все работает,настроил запрещающие,тоже все работает,а вот последнее что мне надо настроить не получается. Вообщем, надо одной машине запретить доступ ко всему кроме POP и SMTP,как не бился,какие только правила не придумывал,не хочет работать и все тут (( Подскажите как оно должно выглядеть.

Заранее благодарю за ответ.

Правила выполняются сверху вниз. От этого и пляши. Т.е запрещающее правило для конкретной машины можно добавить наверх.

Destiny · Feb 8, 2010, 8:35 AM

Сверху вниз т.е. как в ISA ? Смотрите что получается,добавляю правило допустим под номером 1

1. Блокирую -протокол TCP - Source все кроме данного IP -Port POP3 -Destination any - Port POP3- Gateway указываю.
2. Такое же правило для SMTP
3. Ниже идут запрещающие правило на определенные Ip
4. Еще ниже разрешающее для всех.

Если я добавляю этот IP в правило 3,то все блокируется и ничего не работает. Если убираю этот IP c 3 правила,то у этой машины полный доступ на все.

Хотя по идее,я первым правилом блокирую почтовые протоколы для всех кроме данного IP. Где я тут не прав?

dvserg · Feb 8, 2010, 9:11 AM

@Destiny:

Сверху вниз т.е. как в ISA ? Смотрите что получается,добавляю правило допустим под номером 1

1. Блокирую -протокол TCP - Source все кроме данного IP -Port POP3 -Destination any - Port POP3- Gateway указываю.

Проблема в понимании сетей. У вас выходит
block TCP src=myIP srcport=POP3 to dest=any destport= POP3

Кто и где сказал что исходящий Src порт будет POP3? По стандарту кроме отдельных протоколов исходящие пакеты отправляются с последнего свободного в списке номера порта (практически рандомно). Отсюда srcport почти всегда должен быть any
block TCP src=myIP srcport=any to dest=any destport= POP3

Destiny · Feb 8, 2010, 9:33 AM

Изменил первое и второе правило как вы сказали,добавил в 3 данный IP. Результат тот же (((

dvserg · Feb 8, 2010, 9:35 AM

@Destiny:

Изменил первое и второе правило как вы сказали,добавил в 3 данный IP. Результат тот же (((

Скриншот правил в формате JPG/PNG ?

Destiny · Feb 8, 2010, 9:41 AM

В алиасы SMTP и Zapret я добавляю конкретный IP,на картинке шлюзы затер

dvserg · Feb 8, 2010, 9:53 AM

Нет
1 разрешить все и вся ICMP - важно
pass ICMP src=any dest= any

2 разрешить всем DNS - очень важно
pass TCP/UDP src = any dest=any port=53

3 разрешить компьютеру ААА Pop
pass tcp src=AAA dest=any port=Pop

4 разрешить компьютеру ААА SMTP
pass tcp src=AAA dest=any port=SMTP

5 запретить компьютеру ААА Все
pass tcp src=AAA dest=any port=any

далее по списку

Destiny · Feb 8, 2010, 10:02 AM

При такой схеме все заработало. Огромное спасибо!