Не работает правило
-
@oxigen1987
Верно - мы закрыли с Вами 53 порт ( DNS) - хосты не могут определить адрес почтового сервера
Вариантов опять 2
1 Открываем DNS для подсети
2 прописываем ip ручками в почтовой программе -
-
Пазл сложился
И еще вопрос - DNS сервер 192.168.0.1 работает ?1 правило - открываем хосту 192.168.0.5/32 доступ по UDP порт 53 к 192.168.0.254/32
делаем его самым первым
2 исправляем во всех правилах маску 192.168.0.5 на 32
и все должно работать -
-
Точно 192.168.0.1 не работает. А можно без него ? Обычная рабочая сеть не домен.
-
@oxigen1987
Логика такая
Хост 192.168.0.5 ломится за адресом на 192.168.0.1
он не отвечает
Начитает ломиться на 192.168.0.254
тот тоже не отвечает
ошибка
Варианты решения
1 из настроек хоста ( DHCP сервера ) убираете DNS сервер 192.168.0.1
2 открываете доступ хосту 192.168.0.5/32 по UDP порт 53 на хост 192.168.0.254
это делается в PFSENSE по шаблону
главное , поставить это правило выше запрещающего
3 или ручками прописываем ip адреса серверов в настройках bat
и проверяем
Маску хоста в правилах исправить не забудьте
Достаточно выбрать опцию Source - Single Host or Alias -
Получилось! Огромное спасибо!
Еще вопрос. Машины будут отправлять только по 25 и 110 протоколу в интернет. Все остальные закрыты так?
Если можно подскажите как еще сильней ограничить отправку. Скажем только на группу адресов маила. 217.69.139.160, 94.100.180.160, 217.69.128.43, 94.100.180.200, 94.100.180.201, 217.69.139.200, 217.69.139.201
-
@oxigen1987
Делаете Алиас - с адресами хостов , которые перечислили
во втором , третьем правиле в качестве destination выбираете алиас, который создали
адреса портов оставляете 25 и 110
да , для посети NET_ХХХХ открыты 25,110 и 53
для ZHU - открыто все через gateway PPPOE + 192.168.0.254
для всех остальных ( подсети не NET_XXXX) открыто все -
После указания алиаса Бат выдает сообщение
02.09.2018, 12:18:37: FETCH - Подключение к POP3-серверу pop.mail.ru через порт 110
!02.09.2018, 12:18:58: FETCH - Невозможно соединиться с сервером. Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера -
@oxigen1987
Лезем в логи и смотрим - на какой адрес лез бат
и был ли этот адрес в списке разрешенных
если пинговать pop.mail.ru
получаем 217.69.139.74 - у вас его в списке нет
-
Sep 2 12:13:00 LAN 192.168.0.5:65378 192.168.0.255:1947 UDP
Sep 2 12:13:06 LAN 192.168.0.5:137 192.168.0.255:137 UDP
Sep 2 12:13:07 LAN 192.168.0.5:137 192.168.0.255:137 UDP -
-
@oxigen1987
Ну , у вас же все написано
Хост ищет днс сервер 192.168.0.1 - а он , по вашим словам , не работает -
убрал днс из сетевых настроек. Повторил nslookup. Выдал мне адрес сервера маил, которого нет в списке алиаса. Добавил его - все заработало, даже с указанным днс. Можно вместо адресов, которые постоянно меняются указать скажем pop.mail.ru?
-
Не поленитесь , переведите
и все сразу поймете
и тут тоже подсказка
https://ru.wikipedia.org/wiki/FQDN -
БИНГО!
Создал Алиасы
1.PopMailRu (здесь указал хост pop.mail.ru)
2.SmtpMail.Ru (здесь указал хост smtp.mail.ru) -
Наша сеть имеет диапазон 192.168.0.1-192.168.0.254 (Алиас "Net")
Компьютер 192.168.0.1 (в таблице он алиас "Zhu") имеет доступ полный к интернету
Компьютеры 192.168.0.2-192.168.0.8 имеют право отправлять почту через 25 и 110 порт.
Остальные участники 192.168.0.9-192.168.0.254 не должны иметь никакого доступа к интернет (но сеть общая должна быть).Если я создам новый алиас, к примеру "Team", и пропишу там адреса с 192.168.0.2-192.168.0.8.
Заменю в таблице выше в поле Source (вместо алиаса "Net" на "Team"), только там где 53,110,25 порты.Будет ли это значить следующее?
- Zhu имеет полный доступ
- Team (192.168.0.2-192.168.0.8) имеют право только на почту
- Остальные не имеют доступа к интернету вообще
Запрещающее правило оставляю как есть.
-
Добрый.
@oxigen1987Что такое 192.168.0.254? Внутри сети пф ничего не блокирует и ничем не рулит. Только из локальн. сети во вне.
И DNS - 53 TCP\UDPЗачем для Zhu явно указан gw ? В чем суть такого решения.
Запрещающее правило оставляю как есть.
Не нужно. Если того не требует ситуация (ваша - не требует). Напишите верно только разрешающие. Остальное пф блокирует по-умолчанию.
-
-
@oxigen1987
Доброе утро
У PF есть скрытое правило "запретить все" - т е все что явно не разрешено , то запрещено
В вашем случае нужно сделать так
1 разрешаем доступ к dns (хосты 0.2-0.8)
2 то же самое 110 порт
3 тоже самое 25 порт
4 ZHU разрешаем все
5 ,6 правила не нужны
на этом все - больше никаких правил не надо
Это при условии , что больше нет никаких новых вводных
