Bloccare in uscita verso internet porte 25, 587, 445, 139 etc
-
Buongiorno.
Vorrei sapere come creare delle regole per bloccare in uscita (verso internet) connessioni dei client verso le porte 25, 587, 465, 455 e 139.
O anche come verificare che queste siano realmente chiuse. Per le porte smtp no prob, nel senso che ho bloccato tutto tranne le connessioni verso il mio server di posta e posso verificare la cosa provando un telnet smtp.google.it 25 etc e viene bloccata.
Ma per la 455 e 139?
Inoltre, come fareste voi le regole per bloccare queste due porte SOLO verso internet?
Grazie.
-
Ciao!
La cosa sembra difficile,ma è più facile di quel che pensi!
Considerando una configurazione semplice ( un'interfaccia WAN, una LAN ed una DMZ per i server) ti conviene prima di tutti andare su Firewall > Alias e creare un alias con le porte da bloccare. Dopodiché crei una regola in LAN simile a questa:Proto Source Port Destination Port Gateway Queue Schedule Description
IPv4 TCP * * ! DMZ net 25 (SMTP) * none Bocca la porta 25, consentendola solo verso DMZ
Solo che tu dovrai mettere il nome dell'alias di porte da bloccare in destination port e probabilmante aggiungere il protocollo UDP.
Il ! davanti a DMZ net vuol dire che bloccherà questo tipo di connessione nei confronti di qualsiasi interfaccia, eccetto verso i server.
per selezionare questa impostazione devi mettere not durante la creazione della regola.Ti consiglio inoltre di mettere come opzione reject e non block. In tal modo qual'ora l'utente invii della posta riceverà un subito un errore, altrimenti i suoi pacchetti verranno scartati silenziosamente e lui sarà li ad aspettare e a chiedersi perché la posta non funzioni.
Se hai domande altre, fai pure.
Saluti :)