Недопонятки с правилами Firewall


  • Использую pfSense 1.2.2. Создаю правила в фаеволе, цель которых оставить доступ из локалки только по заданным сервисам (HTTP, HTTPS, ftp ну и.т.д.). При попытке зайти на маил.ру в логах вот что:
    23:41:19.448414 IP 192.168.0.3.1239 > 217.69.128.41.80: tcp 0
    23:41:22.485618 IP 192.168.0.3.1239 > 217.69.128.41.80: tcp 0
    23:43:49.451112 IP 192.168.0.3.1243 > 217.69.128.41.80: tcp 0
    23:43:55.496775 IP 192.168.0.3.1243 > 217.69.128.41.80: tcp 0
      Я не могу понять, почему порт источника меняется? Из-за этого мне приходится Source Port выставлять any. Также если я выставляю Destination равным WAN address, то наружу доступ отваливается. Но если я Destination ставлю any, то робит. Все эти настройки я произвожу для интерфейса LAN.
    ???   Это нормально? У всех так? Считается ли безопасным выставление этих двух полей в  any? Или нужно как-то по другому доступ по портам резать?


  • Нужно подучить теорию сетей.
    Порт источника клиента в большинстве случаев (кроме некоторых протоколов) выделяется динамически.
    В правилах ставим any.


  • Ок, спс. Кстати наблюдается проблема. Как только я добавляю штук пять правил и один алес, то почему-то фаевол начинает пропускать весь локальный трафик игнорируя правила. Даже отключение или удаление правил и алеса не помогает. Приходится поднимать из бекапа, благо на вмваре это легко. Кто-нибудь сталкивался с этим? да, и еще… тот же симптом если добавляю алес "user", но в этом случае он еще и пишет, что есть ошибка конфигурации фаевола... Ну мне этот алес не так уж нужен, это просто для понимания процесса.


  • Решился вопрос сам собой, просто иногда конфигурация фаервола применяется несколько дольше (видимо с увеличением правил время возрастает). А что в адресами назначения? их так и оставить any? или внешняя сеть все таки как то конкретно в меню Destination можно обозвать? просто в ISA2004 у меня четко прописано что куда идет, хочется знать, тут это принципиально или нет?