Недопонятки с правилами Firewall
-
Использую pfSense 1.2.2. Создаю правила в фаеволе, цель которых оставить доступ из локалки только по заданным сервисам (HTTP, HTTPS, ftp ну и.т.д.). При попытке зайти на маил.ру в логах вот что:
23:41:19.448414 IP 192.168.0.3.1239 > 217.69.128.41.80: tcp 0
23:41:22.485618 IP 192.168.0.3.1239 > 217.69.128.41.80: tcp 0
23:43:49.451112 IP 192.168.0.3.1243 > 217.69.128.41.80: tcp 0
23:43:55.496775 IP 192.168.0.3.1243 > 217.69.128.41.80: tcp 0
Я не могу понять, почему порт источника меняется? Из-за этого мне приходится Source Port выставлять any. Также если я выставляю Destination равным WAN address, то наружу доступ отваливается. Но если я Destination ставлю any, то робит. Все эти настройки я произвожу для интерфейса LAN.
??? Это нормально? У всех так? Считается ли безопасным выставление этих двух полей в any? Или нужно как-то по другому доступ по портам резать? -
Нужно подучить теорию сетей.
Порт источника клиента в большинстве случаев (кроме некоторых протоколов) выделяется динамически.
В правилах ставим any. -
Ок, спс. Кстати наблюдается проблема. Как только я добавляю штук пять правил и один алес, то почему-то фаевол начинает пропускать весь локальный трафик игнорируя правила. Даже отключение или удаление правил и алеса не помогает. Приходится поднимать из бекапа, благо на вмваре это легко. Кто-нибудь сталкивался с этим? да, и еще… тот же симптом если добавляю алес "user", но в этом случае он еще и пишет, что есть ошибка конфигурации фаевола... Ну мне этот алес не так уж нужен, это просто для понимания процесса.
-
Решился вопрос сам собой, просто иногда конфигурация фаервола применяется несколько дольше (видимо с увеличением правил время возрастает). А что в адресами назначения? их так и оставить any? или внешняя сеть все таки как то конкретно в меню Destination можно обозвать? просто в ISA2004 у меня четко прописано что куда идет, хочется знать, тут это принципиально или нет?