Не работает правило
-
Здравствуйте знатоки. Нужна помощь. Хочу чтобы рабочие машины одной подсети имели только выход через 110 порт и 25. Чтоб у них была только почта. Почта отправляется и принимается через почтового клиента The Bat. Почему когда я прописываю в правиле Distination и source port правило не работает?
https://cloud.mail.ru/public/BRda/BWvzCzXjU - На этой картинке работает, но не так как надо
https://cloud.mail.ru/public/7MMZ/bWJzsLxwU - На этой не работает
Подскажите почему? -
@oxigen1987 Очень нужна ваша помощь
-
Доброго дня
А что означает "не так как надо " и " не работает" ?
Просто во втором случае Вы указываете явно порт источника , например, 25. Вы уверены , что это так ?
и еще я вижу , что всем остальным вы вообще блокируете трафик в первом случае точно, кроме 110 и 25 порта какой-то вашей подсети -
Может что то не так указал. Подскажите. Мне надо чтобы Алис "Net" в котором прописамы участники отправки почты, только отправляли почту и все. Порты прописаны 25 и 110 в бате.
Делали они это только на адреса прописанные в алиасе SMTP Server Mail и через эти порты. И все. больше чтоб у них ничего не было.Спасибо за ответ
-
Два варианта я вижу
1 для первой картинки
После разрешить 110 и 25 ставите правило все запретить для Алиаса net
И следом, разрешить все для всех
Т е будет 4 правила всего
2 вариант для первой картинки
После 110 и 25 добавляем
Одно правило разрешить все кроме Алиаса net
Всего будет 3 правила
Вторую картинку не рассматриваем, по моему, она неверная
PS Добрался до компа
Коряво написал , теперь поясню , если было непонятно
1 вариант выглядел бы так ( с поправкой на ваши условия)
2 вариант выглядел бы так
Обратите внимание на "!" в правиле
И соответственно , еще на самый верх выносите правила для 110 порта и других портов , которые нужно открыть -
Спасибо за ответ. Сделал по первой картинке (1 варианту.) The bat пишет
02.09.2018, 09:19:22: FETCH - Подключение к POP3-серверу pop.mail.ru через порт 110
!02.09.2018, 09:19:36: FETCH - Невозможно соединиться с сервером. Этот хост неизвестен -
@oxigen1987
Вы добавили правила для 110 порта ? Обратите внимание , что это правило должно быть выше запрещающего
Покажите пож итоговую картинку
И еще - на моей картинке используется гейтвей по умолчанию
На ваших картинках он указан явно
И еще , на моей картинке запрещающее правило только для протоколов TCP/UDP (забыл поменять ) - Вам следует поставить ANY protocol для ALIAS NET
Так более наглядно
Вам что следует поменять
1 адрес назначения ( если надо ) - поставить адрес почтового сервера
2 гейтвей ( если надо)
3 добавить на самый верх !!! до запрещающего правила - правила , разрешающие доступ к тем портам , которые необходимы для ALIAS NET (на вашей картинке 45-60) -
Проблема та же
https://cloud.mail.ru/public/JhtU/wv9UsaipL -
@oxigen1987
Из того что вижу , ни одного пакета на 110 и 25 порты не приходило
Зато было много пакетов , которые файрвол отбросил
Надо делать так
в запрещающем правиле поставьте галочку - LOG
Дальше лезем в Status -System Logs - Firewall
и смотрим , что было отброшено
и , если можно , покажите , что видете
особенно , обращаем внимание на адрес 217.69.139.74
и еще - покажите настройки BAT
особенно , настройки аккаунта , какие сервера и порты используются
И еще вопрос - что такое 192.168.0.5 c маской 24 ??????
Это хост ? тогда маска 32
Если подсеть - то такой подсети не существует
у меня на картинках ошибка
сорри 192.168.1.32/27 - подсеть -
This post is deleted! -
https://cloud.mail.ru/public/Hq1o/5RLKbzayK
-
@oxigen1987
Верно - мы закрыли с Вами 53 порт ( DNS) - хосты не могут определить адрес почтового сервера
Вариантов опять 2
1 Открываем DNS для подсети
2 прописываем ip ручками в почтовой программе -
-
Пазл сложился
И еще вопрос - DNS сервер 192.168.0.1 работает ?1 правило - открываем хосту 192.168.0.5/32 доступ по UDP порт 53 к 192.168.0.254/32
делаем его самым первым
2 исправляем во всех правилах маску 192.168.0.5 на 32
и все должно работать -
-
Точно 192.168.0.1 не работает. А можно без него ? Обычная рабочая сеть не домен.
-
@oxigen1987
Логика такая
Хост 192.168.0.5 ломится за адресом на 192.168.0.1
он не отвечает
Начитает ломиться на 192.168.0.254
тот тоже не отвечает
ошибка
Варианты решения
1 из настроек хоста ( DHCP сервера ) убираете DNS сервер 192.168.0.1
2 открываете доступ хосту 192.168.0.5/32 по UDP порт 53 на хост 192.168.0.254
это делается в PFSENSE по шаблону
главное , поставить это правило выше запрещающего
3 или ручками прописываем ip адреса серверов в настройках bat
и проверяем
Маску хоста в правилах исправить не забудьте
Достаточно выбрать опцию Source - Single Host or Alias -
Получилось! Огромное спасибо!
Еще вопрос. Машины будут отправлять только по 25 и 110 протоколу в интернет. Все остальные закрыты так?
Если можно подскажите как еще сильней ограничить отправку. Скажем только на группу адресов маила. 217.69.139.160, 94.100.180.160, 217.69.128.43, 94.100.180.200, 94.100.180.201, 217.69.139.200, 217.69.139.201
-
@oxigen1987
Делаете Алиас - с адресами хостов , которые перечислили
во втором , третьем правиле в качестве destination выбираете алиас, который создали
адреса портов оставляете 25 и 110
да , для посети NET_ХХХХ открыты 25,110 и 53
для ZHU - открыто все через gateway PPPOE + 192.168.0.254
для всех остальных ( подсети не NET_XXXX) открыто все -
После указания алиаса Бат выдает сообщение
02.09.2018, 12:18:37: FETCH - Подключение к POP3-серверу pop.mail.ru через порт 110
!02.09.2018, 12:18:58: FETCH - Невозможно соединиться с сервером. Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера