NO PING SERVER MAIL IN DMZ

Petronio

Ciao a tutti con tanta pazienza e tante letture piano piano sono riuscito a far funzionare il mio firewall tranne il server mail dietro DMZ la mia configurazione è questa:

WAN: 192.168.0.25
LAN: 192.168.1.1
DMZ: 192.168.2.1 (dietro c'è solo un server mail con ip 192.168.2.100)

la lan funziona bene se faccio il ping da un client lan ad un'altro client lan funziona tutto;
se faccio il ping da un client LAN alla WAN (192.168.0.25) funziona tutto;
se faccio il ping da un client LAN alla DMZ (192.168.2.1) funziona tutto;
se faccio il ping da un client LAN al server mail dietro DMZ (192.168.2.100) NON FUNZIONA :( COME MAI! :( non capisco.
vi allego le schermate delle regole presenti in DMZ, in LAN e in WAN.

Oltre a questo problema vorrei delle dritte su quali regole inserire per far colloquiare il mio server mail con l'esterno mi spiego:
sul server il programma di gestione mail è stao tutto settato credo bene.
Ho acquistato per pochissimi euri un dominio su aruba del tipo XXXXXXX.CLOUD con solo il servizio di gestione DNS tutto il resto lo vorrei far fare al mio server mail, preciso che non voglio gestire siti o altra roba il server mail in DMZ mi deve servire solo per gestire 3/4 account di mail ai quali si possa accedere da esterno via internet o dai client posti nella mia lan.
Perchè tutto fiunzioni quali regole e di che tipo devo inserire?

Grazie per chiunque mi voglia rispondere e scusate per al mia ignoranza. Sto facendo tutto questo solo per hobby personale.
Un saluto a tutti voi.
![WAN Rules.gif_thumb](/public/imported_attachments/1/WAN Rules.gif_thumb)
![MIO Firewall.gif](/public/imported_attachments/1/MIO Firewall.gif)
![MIO Firewall.gif_thumb](/public/imported_attachments/1/MIO Firewall.gif_thumb)
![DMZ Rules.gif_thumb](/public/imported_attachments/1/DMZ Rules.gif_thumb)
![DMZ Rules.gif](/public/imported_attachments/1/DMZ Rules.gif)
![LAN Rules.gif](/public/imported_attachments/1/LAN Rules.gif)
![LAN Rules.gif_thumb](/public/imported_attachments/1/LAN Rules.gif_thumb)

OUTBOUND.gif_thumb
![PORT Forward.gif](/public/imported_attachments/1/PORT Forward.gif)
![PORT Forward.gif_thumb](/public/imported_attachments/1/PORT Forward.gif_thumb)
1.1.gif
1.1.gif_thumb

NPt.gif_thumb
![WAN Rules.gif](/public/imported_attachments/1/WAN Rules.gif)

fabio.vigano

Ciao,
elimina la prima regola che hai fatto sull'interfaccia DMZ e poi elimina la seconda regola fatta sull'interfaccia LAN Non servono a nulla

Per pubblicare il server di posta dovrai fare un nat delle porte TCP 25, 465, 587 per la posta in ingresso, se poi vuoi accedere con client POP, IMAP, ACTIVE SYNC piuttosto che HTTPS devi fare il forward delle relative porte.

Ciao Fabio

fabio.vigano

Dimenticavo, lo screenshot della WAN manca, hai mandato 2 volte la LAN
Ti suggerisco di cambiare in reject la regola di block che hai fatto sulla dmz, facilita il troubleshoting ed alleggerisce il firewall che non tiene inutilmente sessioni aperte.
Ciao

Petronio

Ciao prima di tutto mille grazie!!
Ho tolto la prima regola del DMZ e la seconda del LAN ho cambiato in reject la regola di block e ti ho messo lo screenshot della wan che, è vero, non avevo messo.

Adesso se faccio il PING ottengo questo:

C:\Users\user>ping 192.168.2.1

Esecuzione di Ping 192.168.2.1 con 32 byte di dati:
Risposta da 192.168.2.1: byte=32 durata<1ms TTL=64
Risposta da 192.168.2.1: byte=32 durata<1ms TTL=64
Risposta da 192.168.2.1: byte=32 durata<1ms TTL=64
Risposta da 192.168.2.1: byte=32 durata<1ms TTL=64

Statistiche Ping per 192.168.2.1:
Pacchetti: Trasmessi = 4, Ricevuti = 4,
Persi = 0 (0% persi),
Tempo approssimativo percorsi andata/ritorno in millisecondi:
Minimo = 0ms, Massimo = 0ms, Medio = 0ms

C:\Users\user>ping 192.168.2.100

Esecuzione di Ping 192.168.2.100 con 32 byte di dati:
Richiesta scaduta.
Richiesta scaduta.
Richiesta scaduta.
Richiesta scaduta.

Statistiche Ping per 192.168.2.100:
Pacchetti: Trasmessi = 4, Ricevuti = 0,
Persi = 4 (100% persi),

E' normale che da LAN posso accedere al DMZ (192.168.2.1) e non al server mail dietro DMZ? (192.168.2.100)

Per caso il problema è che prima devo fare il NAT e il FORWARD come dici tu?

Petronio

Ciao Fabio e ciao a tutti;
seguendo i tuoi consigli ho fatto il nat delle porte e questo è il risultato, ti allego screenshots della schermata nat/portforward e delle collegate regole che sono comparse sulla schermata WAN.

Tu poi mi dici:
@fabio.vigano:

….......... se poi vuoi accedere con client POP, IMAP, ACTIVE SYNC piuttosto che HTTPS devi fare il forward delle relative porte.
Ciao Fabio

cosa significa che devo inserire sulla shermata nat/portforward altre righe contenenti come redirect target IP sempre 192.168.2.100 e come redirect target port i collegati numeri per POP, IMAP, ACTIVE SYNC?

Grazie in anticipo

![PORT Forward.gif](/public/imported_attachments/1/PORT Forward.gif)
![PORT Forward.gif_thumb](/public/imported_attachments/1/PORT Forward.gif_thumb)
![WAN Rules.gif](/public/imported_attachments/1/WAN Rules.gif)
![WAN Rules.gif_thumb](/public/imported_attachments/1/WAN Rules.gif_thumb)

fabio.vigano

Ciao,
si, se devi accedere ad altre porte devi replicare quello che hai già fatto per quelle che hai pubblicato.
Ciao
Fabio

Petronio

Ciao Fabio fatto tutto ma se faccio un ping da un client della lan al server mail dietro dmz continua a non funzionare. :( non capisco :(