Не работает правило



  • Здравствуйте знатоки. Нужна помощь. Хочу чтобы рабочие машины одной подсети имели только выход через 110 порт и 25. Чтоб у них была только почта. Почта отправляется и принимается через почтового клиента The Bat. Почему когда я прописываю в правиле Distination и source port правило не работает?
    https://cloud.mail.ru/public/BRda/BWvzCzXjU - На этой картинке работает, но не так как надо
    https://cloud.mail.ru/public/7MMZ/bWJzsLxwU - На этой не работает
    Подскажите почему?



  • @oxigen1987 Очень нужна ваша помощь



  • Доброго дня
    А что означает "не так как надо " и " не работает" ?
    Просто во втором случае Вы указываете явно порт источника , например, 25. Вы уверены , что это так ?
    и еще я вижу , что всем остальным вы вообще блокируете трафик в первом случае точно, кроме 110 и 25 порта какой-то вашей подсети



  • Может что то не так указал. Подскажите. Мне надо чтобы Алис "Net" в котором прописамы участники отправки почты, только отправляли почту и все. Порты прописаны 25 и 110 в бате.
    Делали они это только на адреса прописанные в алиасе SMTP Server Mail и через эти порты. И все. больше чтоб у них ничего не было.

    Спасибо за ответ



  • Два варианта я вижу
    1 для первой картинки
    После разрешить 110 и 25 ставите правило все запретить для Алиаса net
    И следом, разрешить все для всех
    Т е будет 4 правила всего
    2 вариант для первой картинки
    После 110 и 25 добавляем
    Одно правило разрешить все кроме Алиаса net
    Всего будет 3 правила
    Вторую картинку не рассматриваем, по моему, она неверная
    PS Добрался до компа
    Коряво написал , теперь поясню , если было непонятно
    1 вариант выглядел бы так ( с поправкой на ваши условия)
    0_1535820949807_f5b4afca-8d89-4f0e-9126-0dad1c95c958-image.png
    2 вариант выглядел бы так
    0_1535821030411_02f36a55-d799-43d6-969a-28241a62fa92-image.png

    Обратите внимание на "!" в правиле
    И соответственно , еще на самый верх выносите правила для 110 порта и других портов , которые нужно открыть



  • Спасибо за ответ. Сделал по первой картинке (1 варианту.) The bat пишет
    02.09.2018, 09:19:22: FETCH - Подключение к POP3-серверу pop.mail.ru через порт 110
    !02.09.2018, 09:19:36: FETCH - Невозможно соединиться с сервером. Этот хост неизвестен



  • @oxigen1987
    Вы добавили правила для 110 порта ? Обратите внимание , что это правило должно быть выше запрещающего
    Покажите пож итоговую картинку
    И еще - на моей картинке используется гейтвей по умолчанию
    На ваших картинках он указан явно
    И еще , на моей картинке запрещающее правило только для протоколов TCP/UDP (забыл поменять ) - Вам следует поставить ANY protocol для ALIAS NET

    0_1535873448084_a4e3e04a-908c-46a5-accb-7d7e1aa82d44-image.png

    Так более наглядно
    Вам что следует поменять
    1 адрес назначения ( если надо ) - поставить адрес почтового сервера
    2 гейтвей ( если надо)
    3 добавить на самый верх !!! до запрещающего правила - правила , разрешающие доступ к тем портам , которые необходимы для ALIAS NET (на вашей картинке 45-60)



  • Проблема та же

    alt text
    https://cloud.mail.ru/public/JhtU/wv9UsaipL



  • @oxigen1987
    Из того что вижу , ни одного пакета на 110 и 25 порты не приходило
    Зато было много пакетов , которые файрвол отбросил
    Надо делать так
    в запрещающем правиле поставьте галочку - LOG
    0_1535876333413_7b81fef3-1a7b-461f-aecb-8a25e6a29f44-image.png

    Дальше лезем в Status -System Logs - Firewall
    и смотрим , что было отброшено
    и , если можно , покажите , что видете
    особенно , обращаем внимание на адрес 217.69.139.74
    и еще - покажите настройки BAT
    особенно , настройки аккаунта , какие сервера и порты используются
    И еще вопрос - что такое 192.168.0.5 c маской 24 ??????
    Это хост ? тогда маска 32
    Если подсеть - то такой подсети не существует
    у меня на картинках ошибка
    сорри 192.168.1.32/27 - подсеть



  • This post is deleted!




  • @oxigen1987
    Верно - мы закрыли с Вами 53 порт ( DNS) - хосты не могут определить адрес почтового сервера
    Вариантов опять 2
    1 Открываем DNS для подсети
    2 прописываем ip ручками в почтовой программе



  • 0_1535878027156_6.png



  • @oxigen1987

    Пазл сложился
    И еще вопрос - DNS сервер 192.168.0.1 работает ?

    1 правило - открываем хосту 192.168.0.5/32 доступ по UDP порт 53 к 192.168.0.254/32
    делаем его самым первым
    2 исправляем во всех правилах маску 192.168.0.5 на 32
    и все должно работать



  • 0_1535878236106_7.png



  • Точно 192.168.0.1 не работает. А можно без него ? Обычная рабочая сеть не домен.



  • @oxigen1987
    Логика такая
    Хост 192.168.0.5 ломится за адресом на 192.168.0.1
    он не отвечает
    Начитает ломиться на 192.168.0.254
    тот тоже не отвечает
    ошибка
    Варианты решения
    1 из настроек хоста ( DHCP сервера ) убираете DNS сервер 192.168.0.1
    2 открываете доступ хосту 192.168.0.5/32 по UDP порт 53 на хост 192.168.0.254
    это делается в PFSENSE по шаблону
    главное , поставить это правило выше запрещающего
    3 или ручками прописываем ip адреса серверов в настройках bat
    и проверяем
    Маску хоста в правилах исправить не забудьте
    Достаточно выбрать опцию Source - Single Host or Alias



  • Получилось! Огромное спасибо!
    0_1535879156660_8.png

    Еще вопрос. Машины будут отправлять только по 25 и 110 протоколу в интернет. Все остальные закрыты так?

    Если можно подскажите как еще сильней ограничить отправку. Скажем только на группу адресов маила. 217.69.139.160, 94.100.180.160, 217.69.128.43, 94.100.180.200, 94.100.180.201, 217.69.139.200, 217.69.139.201



  • @oxigen1987
    Делаете Алиас - с адресами хостов , которые перечислили
    во втором , третьем правиле в качестве destination выбираете алиас, который создали
    адреса портов оставляете 25 и 110
    да , для посети NET_ХХХХ открыты 25,110 и 53
    для ZHU - открыто все через gateway PPPOE + 192.168.0.254
    для всех остальных ( подсети не NET_XXXX) открыто все



  • После указания алиаса Бат выдает сообщение

    02.09.2018, 12:18:37: FETCH - Подключение к POP3-серверу pop.mail.ru через порт 110
    !02.09.2018, 12:18:58: FETCH - Невозможно соединиться с сервером. Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера



  • @oxigen1987
    Лезем в логи и смотрим - на какой адрес лез бат
    и был ли этот адрес в списке разрешенных
    если пинговать pop.mail.ru
    получаем 217.69.139.74 - у вас его в списке нет
    0_1535880176897_47071a01-2db7-4ad8-84e9-5ea73002db2a-image.png



  • Sep 2 12:13:00 LAN 192.168.0.5:65378 192.168.0.255:1947 UDP
    Sep 2 12:13:06 LAN 192.168.0.5:137 192.168.0.255:137 UDP
    Sep 2 12:13:07 LAN 192.168.0.5:137 192.168.0.255:137 UDP



  • 0_1535880366297_9.png



  • @oxigen1987
    Ну , у вас же все написано
    Хост ищет днс сервер 192.168.0.1 - а он , по вашим словам , не работает



  • убрал днс из сетевых настроек. Повторил nslookup. Выдал мне адрес сервера маил, которого нет в списке алиаса. Добавил его - все заработало, даже с указанным днс. Можно вместо адресов, которые постоянно меняются указать скажем pop.mail.ru?



  • @oxigen1987
    0_1535880960689_f2f24c02-7e7a-4f69-9f23-248fd3969ce4-image.png

    Не поленитесь , переведите
    и все сразу поймете
    и тут тоже подсказка
    https://ru.wikipedia.org/wiki/FQDN



  • БИНГО!
    0_1535882869446_10.png
    Создал Алиасы
    1.PopMailRu (здесь указал хост pop.mail.ru)
    2.SmtpMail.Ru (здесь указал хост smtp.mail.ru)



  • Наша сеть имеет диапазон 192.168.0.1-192.168.0.254 (Алиас "Net")
    Компьютер 192.168.0.1 (в таблице он алиас "Zhu") имеет доступ полный к интернету
    Компьютеры 192.168.0.2-192.168.0.8 имеют право отправлять почту через 25 и 110 порт.
    Остальные участники 192.168.0.9-192.168.0.254 не должны иметь никакого доступа к интернет (но сеть общая должна быть).

    Если я создам новый алиас, к примеру "Team", и пропишу там адреса с 192.168.0.2-192.168.0.8.
    Заменю в таблице выше в поле Source (вместо алиаса "Net" на "Team"), только там где 53,110,25 порты.

    Будет ли это значить следующее?

    1. Zhu имеет полный доступ
    2. Team (192.168.0.2-192.168.0.8) имеют право только на почту
    3. Остальные не имеют доступа к интернету вообще

    Запрещающее правило оставляю как есть.



  • Добрый.
    @oxigen1987

    Что такое 192.168.0.254? Внутри сети пф ничего не блокирует и ничем не рулит. Только из локальн. сети во вне.
    И DNS - 53 TCP\UDP

    Зачем для Zhu явно указан gw ? В чем суть такого решения.

    Запрещающее правило оставляю как есть.

    Не нужно. Если того не требует ситуация (ваша - не требует). Напишите верно только разрешающие. Остальное пф блокирует по-умолчанию.



  • @werter said in Не работает правило:

    192.168.0.254

    Это шлюз Pf



  • @oxigen1987
    Доброе утро
    У PF есть скрытое правило "запретить все" - т е все что явно не разрешено , то запрещено
    В вашем случае нужно сделать так
    1 разрешаем доступ к dns (хосты 0.2-0.8)
    2 то же самое 110 порт
    3 тоже самое 25 порт
    4 ZHU разрешаем все
    5 ,6 правила не нужны
    на этом все - больше никаких правил не надо
    Это при условии , что больше нет никаких новых вводных



  • Konstanti Спасибо огромное! Очень помогли!


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy