Не работает правило
-
Здравствуйте знатоки. Нужна помощь. Хочу чтобы рабочие машины одной подсети имели только выход через 110 порт и 25. Чтоб у них была только почта. Почта отправляется и принимается через почтового клиента The Bat. Почему когда я прописываю в правиле Distination и source port правило не работает?
https://cloud.mail.ru/public/BRda/BWvzCzXjU - На этой картинке работает, но не так как надо
https://cloud.mail.ru/public/7MMZ/bWJzsLxwU - На этой не работает
Подскажите почему?
-
@oxigen1987 Очень нужна ваша помощь
-
Доброго дня
А что означает "не так как надо " и " не работает" ?
Просто во втором случае Вы указываете явно порт источника , например, 25. Вы уверены , что это так ?
и еще я вижу , что всем остальным вы вообще блокируете трафик в первом случае точно, кроме 110 и 25 порта какой-то вашей подсети
-
Может что то не так указал. Подскажите. Мне надо чтобы Алис "Net" в котором прописамы участники отправки почты, только отправляли почту и все. Порты прописаны 25 и 110 в бате.
Делали они это только на адреса прописанные в алиасе SMTP Server Mail и через эти порты. И все. больше чтоб у них ничего не было.Спасибо за ответ
-
Два варианта я вижу
1 для первой картинки
После разрешить 110 и 25 ставите правило все запретить для Алиаса net
И следом, разрешить все для всех
Т е будет 4 правила всего
2 вариант для первой картинки
После 110 и 25 добавляем
Одно правило разрешить все кроме Алиаса net
Всего будет 3 правила
Вторую картинку не рассматриваем, по моему, она неверная
PS Добрался до компа
Коряво написал , теперь поясню , если было непонятно
1 вариант выглядел бы так ( с поправкой на ваши условия)
2 вариант выглядел бы так
Обратите внимание на "!" в правиле
И соответственно , еще на самый верх выносите правила для 110 порта и других портов , которые нужно открыть
-
Спасибо за ответ. Сделал по первой картинке (1 варианту.) The bat пишет
02.09.2018, 09:19:22: FETCH - Подключение к POP3-серверу pop.mail.ru через порт 110
!02.09.2018, 09:19:36: FETCH - Невозможно соединиться с сервером. Этот хост неизвестен
-
@oxigen1987
Вы добавили правила для 110 порта ? Обратите внимание , что это правило должно быть выше запрещающего
Покажите пож итоговую картинку
И еще - на моей картинке используется гейтвей по умолчанию
На ваших картинках он указан явно
И еще , на моей картинке запрещающее правило только для протоколов TCP/UDP (забыл поменять ) - Вам следует поставить ANY protocol для ALIAS NET
Так более наглядно
Вам что следует поменять
1 адрес назначения ( если надо ) - поставить адрес почтового сервера
2 гейтвей ( если надо)
3 добавить на самый верх !!! до запрещающего правила - правила , разрешающие доступ к тем портам , которые необходимы для ALIAS NET (на вашей картинке 45-60)
-
Проблема та же
-
@oxigen1987
Из того что вижу , ни одного пакета на 110 и 25 порты не приходило
Зато было много пакетов , которые файрвол отбросил
Надо делать так
в запрещающем правиле поставьте галочку - LOG
Дальше лезем в Status -System Logs - Firewall
и смотрим , что было отброшено
и , если можно , покажите , что видете
особенно , обращаем внимание на адрес 217.69.139.74
и еще - покажите настройки BAT
особенно , настройки аккаунта , какие сервера и порты используются
И еще вопрос - что такое 192.168.0.5 c маской 24 ??????
Это хост ? тогда маска 32
Если подсеть - то такой подсети не существует
у меня на картинках ошибка
сорри 192.168.1.32/27 - подсеть
-
This post is deleted!
-
-
@oxigen1987
Верно - мы закрыли с Вами 53 порт ( DNS) - хосты не могут определить адрес почтового сервера
Вариантов опять 2
1 Открываем DNS для подсети
2 прописываем ip ручками в почтовой программе
-
-
Пазл сложился
И еще вопрос - DNS сервер 192.168.0.1 работает ?1 правило - открываем хосту 192.168.0.5/32 доступ по UDP порт 53 к 192.168.0.254/32
делаем его самым первым
2 исправляем во всех правилах маску 192.168.0.5 на 32
и все должно работать
-
-
Точно 192.168.0.1 не работает. А можно без него ? Обычная рабочая сеть не домен.
-
@oxigen1987
Логика такая
Хост 192.168.0.5 ломится за адресом на 192.168.0.1
он не отвечает
Начитает ломиться на 192.168.0.254
тот тоже не отвечает
ошибка
Варианты решения
1 из настроек хоста ( DHCP сервера ) убираете DNS сервер 192.168.0.1
2 открываете доступ хосту 192.168.0.5/32 по UDP порт 53 на хост 192.168.0.254
это делается в PFSENSE по шаблону
главное , поставить это правило выше запрещающего
3 или ручками прописываем ip адреса серверов в настройках bat
и проверяем
Маску хоста в правилах исправить не забудьте
Достаточно выбрать опцию Source - Single Host or Alias
-
Получилось! Огромное спасибо!
Еще вопрос. Машины будут отправлять только по 25 и 110 протоколу в интернет. Все остальные закрыты так?
Если можно подскажите как еще сильней ограничить отправку. Скажем только на группу адресов маила. 217.69.139.160, 94.100.180.160, 217.69.128.43, 94.100.180.200, 94.100.180.201, 217.69.139.200, 217.69.139.201
-
@oxigen1987
Делаете Алиас - с адресами хостов , которые перечислили
во втором , третьем правиле в качестве destination выбираете алиас, который создали
адреса портов оставляете 25 и 110
да , для посети NET_ХХХХ открыты 25,110 и 53
для ZHU - открыто все через gateway PPPOE + 192.168.0.254
для всех остальных ( подсети не NET_XXXX) открыто все
-
После указания алиаса Бат выдает сообщение
02.09.2018, 12:18:37: FETCH - Подключение к POP3-серверу pop.mail.ru через порт 110
!02.09.2018, 12:18:58: FETCH - Невозможно соединиться с сервером. Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера
-
@oxigen1987
Лезем в логи и смотрим - на какой адрес лез бат
и был ли этот адрес в списке разрешенных
если пинговать pop.mail.ru
получаем 217.69.139.74 - у вас его в списке нет
-
Sep 2 12:13:00 LAN 192.168.0.5:65378 192.168.0.255:1947 UDP
Sep 2 12:13:06 LAN 192.168.0.5:137 192.168.0.255:137 UDP
Sep 2 12:13:07 LAN 192.168.0.5:137 192.168.0.255:137 UDP
-
-
@oxigen1987
Ну , у вас же все написано
Хост ищет днс сервер 192.168.0.1 - а он , по вашим словам , не работает
-
убрал днс из сетевых настроек. Повторил nslookup. Выдал мне адрес сервера маил, которого нет в списке алиаса. Добавил его - все заработало, даже с указанным днс. Можно вместо адресов, которые постоянно меняются указать скажем pop.mail.ru?
-
Не поленитесь , переведите
и все сразу поймете
и тут тоже подсказка
https://ru.wikipedia.org/wiki/FQDN
-
БИНГО!
Создал Алиасы
1.PopMailRu (здесь указал хост pop.mail.ru)
2.SmtpMail.Ru (здесь указал хост smtp.mail.ru)
-
Наша сеть имеет диапазон 192.168.0.1-192.168.0.254 (Алиас "Net")
Компьютер 192.168.0.1 (в таблице он алиас "Zhu") имеет доступ полный к интернету
Компьютеры 192.168.0.2-192.168.0.8 имеют право отправлять почту через 25 и 110 порт.
Остальные участники 192.168.0.9-192.168.0.254 не должны иметь никакого доступа к интернет (но сеть общая должна быть).Если я создам новый алиас, к примеру "Team", и пропишу там адреса с 192.168.0.2-192.168.0.8.
Заменю в таблице выше в поле Source (вместо алиаса "Net" на "Team"), только там где 53,110,25 порты.Будет ли это значить следующее?
- Zhu имеет полный доступ
- Team (192.168.0.2-192.168.0.8) имеют право только на почту
- Остальные не имеют доступа к интернету вообще
Запрещающее правило оставляю как есть.
-
Добрый.
@oxigen1987Что такое 192.168.0.254? Внутри сети пф ничего не блокирует и ничем не рулит. Только из локальн. сети во вне.
И DNS - 53 TCP\UDPЗачем для Zhu явно указан gw ? В чем суть такого решения.
Запрещающее правило оставляю как есть.
Не нужно. Если того не требует ситуация (ваша - не требует). Напишите верно только разрешающие. Остальное пф блокирует по-умолчанию.
-
-
@oxigen1987
Доброе утро
У PF есть скрытое правило "запретить все" - т е все что явно не разрешено , то запрещено
В вашем случае нужно сделать так
1 разрешаем доступ к dns (хосты 0.2-0.8)
2 то же самое 110 порт
3 тоже самое 25 порт
4 ZHU разрешаем все
5 ,6 правила не нужны
на этом все - больше никаких правил не надо
Это при условии , что больше нет никаких новых вводных
-
Konstanti Спасибо огромное! Очень помогли!
