Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Не работает правило

    Scheduled Pinned Locked Moved Russian
    32 Posts 3 Posters 3.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • O
      oxigen1987
      last edited by

      Здравствуйте знатоки. Нужна помощь. Хочу чтобы рабочие машины одной подсети имели только выход через 110 порт и 25. Чтоб у них была только почта. Почта отправляется и принимается через почтового клиента The Bat. Почему когда я прописываю в правиле Distination и source port правило не работает?
      https://cloud.mail.ru/public/BRda/BWvzCzXjU - На этой картинке работает, но не так как надо
      https://cloud.mail.ru/public/7MMZ/bWJzsLxwU - На этой не работает
      Подскажите почему?

      O 1 Reply Last reply Reply Quote 0
      • O
        oxigen1987 @oxigen1987
        last edited by

        @oxigen1987 Очень нужна ваша помощь

        1 Reply Last reply Reply Quote 0
        • K
          Konstanti
          last edited by Konstanti

          Доброго дня
          А что означает "не так как надо " и " не работает" ?
          Просто во втором случае Вы указываете явно порт источника , например, 25. Вы уверены , что это так ?
          и еще я вижу , что всем остальным вы вообще блокируете трафик в первом случае точно, кроме 110 и 25 порта какой-то вашей подсети

          1 Reply Last reply Reply Quote 0
          • O
            oxigen1987
            last edited by

            Может что то не так указал. Подскажите. Мне надо чтобы Алис "Net" в котором прописамы участники отправки почты, только отправляли почту и все. Порты прописаны 25 и 110 в бате.
            Делали они это только на адреса прописанные в алиасе SMTP Server Mail и через эти порты. И все. больше чтоб у них ничего не было.

            Спасибо за ответ

            1 Reply Last reply Reply Quote 0
            • K
              Konstanti
              last edited by Konstanti

              Два варианта я вижу
              1 для первой картинки
              После разрешить 110 и 25 ставите правило все запретить для Алиаса net
              И следом, разрешить все для всех
              Т е будет 4 правила всего
              2 вариант для первой картинки
              После 110 и 25 добавляем
              Одно правило разрешить все кроме Алиаса net
              Всего будет 3 правила
              Вторую картинку не рассматриваем, по моему, она неверная
              PS Добрался до компа
              Коряво написал , теперь поясню , если было непонятно
              1 вариант выглядел бы так ( с поправкой на ваши условия)
              0_1535820949807_f5b4afca-8d89-4f0e-9126-0dad1c95c958-image.png
              2 вариант выглядел бы так
              0_1535821030411_02f36a55-d799-43d6-969a-28241a62fa92-image.png

              Обратите внимание на "!" в правиле
              И соответственно , еще на самый верх выносите правила для 110 порта и других портов , которые нужно открыть

              1 Reply Last reply Reply Quote 1
              • O
                oxigen1987
                last edited by oxigen1987

                Спасибо за ответ. Сделал по первой картинке (1 варианту.) The bat пишет
                02.09.2018, 09:19:22: FETCH - Подключение к POP3-серверу pop.mail.ru через порт 110
                !02.09.2018, 09:19:36: FETCH - Невозможно соединиться с сервером. Этот хост неизвестен

                K 1 Reply Last reply Reply Quote 0
                • K
                  Konstanti @oxigen1987
                  last edited by Konstanti

                  @oxigen1987
                  Вы добавили правила для 110 порта ? Обратите внимание , что это правило должно быть выше запрещающего
                  Покажите пож итоговую картинку
                  И еще - на моей картинке используется гейтвей по умолчанию
                  На ваших картинках он указан явно
                  И еще , на моей картинке запрещающее правило только для протоколов TCP/UDP (забыл поменять ) - Вам следует поставить ANY protocol для ALIAS NET

                  0_1535873448084_a4e3e04a-908c-46a5-accb-7d7e1aa82d44-image.png

                  Так более наглядно
                  Вам что следует поменять
                  1 адрес назначения ( если надо ) - поставить адрес почтового сервера
                  2 гейтвей ( если надо)
                  3 добавить на самый верх !!! до запрещающего правила - правила , разрешающие доступ к тем портам , которые необходимы для ALIAS NET (на вашей картинке 45-60)

                  1 Reply Last reply Reply Quote 0
                  • O
                    oxigen1987
                    last edited by oxigen1987

                    Проблема та же

                    alt text
                    https://cloud.mail.ru/public/JhtU/wv9UsaipL

                    K 1 Reply Last reply Reply Quote 0
                    • K
                      Konstanti @oxigen1987
                      last edited by Konstanti

                      @oxigen1987
                      Из того что вижу , ни одного пакета на 110 и 25 порты не приходило
                      Зато было много пакетов , которые файрвол отбросил
                      Надо делать так
                      в запрещающем правиле поставьте галочку - LOG
                      0_1535876333413_7b81fef3-1a7b-461f-aecb-8a25e6a29f44-image.png

                      Дальше лезем в Status -System Logs - Firewall
                      и смотрим , что было отброшено
                      и , если можно , покажите , что видете
                      особенно , обращаем внимание на адрес 217.69.139.74
                      и еще - покажите настройки BAT
                      особенно , настройки аккаунта , какие сервера и порты используются
                      И еще вопрос - что такое 192.168.0.5 c маской 24 ??????
                      Это хост ? тогда маска 32
                      Если подсеть - то такой подсети не существует
                      у меня на картинках ошибка
                      сорри 192.168.1.32/27 - подсеть

                      1 Reply Last reply Reply Quote 0
                      • O
                        oxigen1987
                        last edited by

                        This post is deleted!
                        1 Reply Last reply Reply Quote 0
                        • O
                          oxigen1987
                          last edited by

                          https://cloud.mail.ru/public/Hq1o/5RLKbzayK

                          K 1 Reply Last reply Reply Quote 0
                          • K
                            Konstanti @oxigen1987
                            last edited by

                            @oxigen1987
                            Верно - мы закрыли с Вами 53 порт ( DNS) - хосты не могут определить адрес почтового сервера
                            Вариантов опять 2
                            1 Открываем DNS для подсети
                            2 прописываем ip ручками в почтовой программе

                            1 Reply Last reply Reply Quote 0
                            • O
                              oxigen1987
                              last edited by

                              0_1535878027156_6.png

                              K 1 Reply Last reply Reply Quote 0
                              • K
                                Konstanti @oxigen1987
                                last edited by Konstanti

                                @oxigen1987

                                Пазл сложился
                                И еще вопрос - DNS сервер 192.168.0.1 работает ?

                                1 правило - открываем хосту 192.168.0.5/32 доступ по UDP порт 53 к 192.168.0.254/32
                                делаем его самым первым
                                2 исправляем во всех правилах маску 192.168.0.5 на 32
                                и все должно работать

                                1 Reply Last reply Reply Quote 1
                                • O
                                  oxigen1987
                                  last edited by

                                  0_1535878236106_7.png

                                  1 Reply Last reply Reply Quote 0
                                  • O
                                    oxigen1987
                                    last edited by

                                    Точно 192.168.0.1 не работает. А можно без него ? Обычная рабочая сеть не домен.

                                    K 1 Reply Last reply Reply Quote 0
                                    • K
                                      Konstanti @oxigen1987
                                      last edited by Konstanti

                                      @oxigen1987
                                      Логика такая
                                      Хост 192.168.0.5 ломится за адресом на 192.168.0.1
                                      он не отвечает
                                      Начитает ломиться на 192.168.0.254
                                      тот тоже не отвечает
                                      ошибка
                                      Варианты решения
                                      1 из настроек хоста ( DHCP сервера ) убираете DNS сервер 192.168.0.1
                                      2 открываете доступ хосту 192.168.0.5/32 по UDP порт 53 на хост 192.168.0.254
                                      это делается в PFSENSE по шаблону
                                      главное , поставить это правило выше запрещающего
                                      3 или ручками прописываем ip адреса серверов в настройках bat
                                      и проверяем
                                      Маску хоста в правилах исправить не забудьте
                                      Достаточно выбрать опцию Source - Single Host or Alias

                                      1 Reply Last reply Reply Quote 1
                                      • O
                                        oxigen1987
                                        last edited by

                                        Получилось! Огромное спасибо!
                                        0_1535879156660_8.png

                                        Еще вопрос. Машины будут отправлять только по 25 и 110 протоколу в интернет. Все остальные закрыты так?

                                        Если можно подскажите как еще сильней ограничить отправку. Скажем только на группу адресов маила. 217.69.139.160, 94.100.180.160, 217.69.128.43, 94.100.180.200, 94.100.180.201, 217.69.139.200, 217.69.139.201

                                        K 1 Reply Last reply Reply Quote 0
                                        • K
                                          Konstanti @oxigen1987
                                          last edited by Konstanti

                                          @oxigen1987
                                          Делаете Алиас - с адресами хостов , которые перечислили
                                          во втором , третьем правиле в качестве destination выбираете алиас, который создали
                                          адреса портов оставляете 25 и 110
                                          да , для посети NET_ХХХХ открыты 25,110 и 53
                                          для ZHU - открыто все через gateway PPPOE + 192.168.0.254
                                          для всех остальных ( подсети не NET_XXXX) открыто все

                                          1 Reply Last reply Reply Quote 0
                                          • O
                                            oxigen1987
                                            last edited by

                                            После указания алиаса Бат выдает сообщение

                                            02.09.2018, 12:18:37: FETCH - Подключение к POP3-серверу pop.mail.ru через порт 110
                                            !02.09.2018, 12:18:58: FETCH - Невозможно соединиться с сервером. Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера

                                            K 1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.