PF блочит порты в локалке, не понятно!!!

John_PFsense

Поднял почтовый сервер вроде всё работает почта ходит. Решил настроить у юзера из второй подсети, обращаюсь к серверу и тут полный облом. Стучусь на сервер телнетом на 25 порт, глухо пробую пo ip глухо. Смотрю логи и вижу что мой PFsense блочит порты из второй подсети. Прописываю правила, но нет эффекта. Прошу помощи, куда копать? Почтовик 192.168.1.161 Скрины выкладываю.
Снимок.PNG
Снимок.PNG_thumb
2Снимок.PNG
2Снимок.PNG_thumb
4Снимок.PNG
4Снимок.PNG_thumb
5Снимок.PNG
5Снимок.PNG_thumb
6Снимок.PNG
6Снимок.PNG_thumb

Tr0tter

А покажите пожалуйста лист маршрутизации в pfsense

werter

@John_PFsense:

Поднял почтовый сервер вроде всё работает почта ходит. Решил настроить у юзера из второй подсети, обращаюсь к серверу и тут полный облом. Стучусь на сервер телнетом на 25 порт, глухо пробую пo ip глухо. Смотрю логи и вижу что мой PFsense блочит порты из второй подсети. Прописываю правила, но нет эффекта. Прошу помощи, куда копать? Почтовик 192.168.1.161 Скрины выкладываю.

У вас два LAN интерфейса на pf ? Так рисуйте разрешающее правило из LAN1 в LAN2 для доступа к почтовику.

Далее , у вас куча кривых правил в fw :(

gr0mW

Так по скринам у Вас второй локальной сети НЕТ.
Покажите Interfaces: Assign
В NAT Outbound Вы прописали 3 сети, а в Rules –1 LAN

John_PFsense

Извиняюсь что пропал на несколько дней. По поводу правил, не совсем ясно, я создал альяс где прописал все подсети которые мне необходимы, см. скрин. Добавил правило котрое мне так кажется должно отрабатывать. Из других подсетей всё ходит. Но вот интересная штука какая, беру ip из второй подсетки нерабочей машины и даю ему другой ip той же подсети проходит 10-15 мин. телнетом цепляюсь к почтовику. IP нерабочей машины прописал у себя на ноуте, почтовик зацепился. Вот такая хрень, я подумал что проблема решилась но прошло 3 дня и всё по новой. По поводу кривых правил, укажите на косяк попробую разобраться.

1Снимок.PNG
1Снимок.PNG_thumb
2Снимок.PNG
2Снимок.PNG_thumb
3Снимок.PNG
3Снимок.PNG_thumb
4Снимок.PNG
4Снимок.PNG_thumb

werter

Схему сети с полной адресацией рисуйте.

John_PFsense

Вот общая схема сети. Провёл эксперимент, попытлся подключить одновременно двух пользователей из 55 подсети один подключился а второй нет. Делаю вывод, что дело в маске подсети. Думаю так. Возможно ошибаюсь. Есть у кого идеи?

Снимок.PNG
Снимок.PNG_thumb

werter

Не увидел маски подсети на схеме. Рисуйте ПОЛНУЮ схему.

John_PFsense

Всё не просто 5 vlan настроены на 192.168.1.4/24 он маршрутизирует сети (1.0, 30.0,55.0, 2.0, 104.0) у всех 24 маска. Шлюзом на маршрутизаторе указан первый прокси 1.230. Так же в сети поднят ещё прокси на PFsense, часть народа ходит через 1.230 другая часть через 1.134. На почтовом сервере шлюзом прописан 1.134 напрямую. Скрины смотрите, таблицу маршрутизации.

John_PFsense

Да уж что, нет вариантов решения проблемы? Я уже всю голову сломал, либо это косяк PFsense. Либо у меня не хватает мозгов

rubic

https://forum.pfsense.org/index.php?topic=79984.0

gr0mW

А где у Вас настройка vlan на pfsense? В Interfaces: Assign network ports у Вас только WAN и LAN. Настраивайте vlan на LAN интерфейсе. И покажите на схеме маски подсетей

John_PFsense

Виланы настроены на маршрутизаторе L3 D-Link 192.168.1.4 посмотрите схему сети на скрине. Спасибо за ссылку. Поставил галку Bypass firewall rules for traffic on the same interface пакеты не стали рубится, почта из других сетей пошла, но до конца не разобрался как и куда у меня ходят пакеты. Буду читать мануал , и наблюдать за PF. Хотя не пойму почему это нельзя сделать правилами pf?

pigbrother

Буду читать мануал , и наблюдать за PF. Хотя не пойму почему это нельзя сделать правилами pf?

Статья уважаемого rubic в шапке:
pfSense: порядок прохождения пакетов
https://forum.pfsense.org/index.php?topic=73670.0