[РЕШЕНО] Проблемка с правилами
-
Настроил разрешающие правила,все работает,настроил запрещающие,тоже все работает,а вот последнее что мне надо настроить не получается. Вообщем, надо одной машине запретить доступ ко всему кроме POP и SMTP,как не бился,какие только правила не придумывал,не хочет работать и все тут (( Подскажите как оно должно выглядеть.
Заранее благодарю за ответ.
-
Настроил разрешающие правила,все работает,настроил запрещающие,тоже все работает,а вот последнее что мне надо настроить не получается. Вообщем, надо одной машине запретить доступ ко всему кроме POP и SMTP,как не бился,какие только правила не придумывал,не хочет работать и все тут (( Подскажите как оно должно выглядеть.
Заранее благодарю за ответ.
Правила выполняются сверху вниз. От этого и пляши. Т.е запрещающее правило для конкретной машины можно добавить наверх.
-
Сверху вниз т.е. как в ISA ? Смотрите что получается,добавляю правило допустим под номером 1
1. Блокирую -протокол TCP - Source все кроме данного IP -Port POP3 -Destination any - Port POP3- Gateway указываю.
2. Такое же правило для SMTP
3. Ниже идут запрещающие правило на определенные Ip
4. Еще ниже разрешающее для всех.Если я добавляю этот IP в правило 3,то все блокируется и ничего не работает. Если убираю этот IP c 3 правила,то у этой машины полный доступ на все.
Хотя по идее,я первым правилом блокирую почтовые протоколы для всех кроме данного IP. Где я тут не прав?
-
Сверху вниз т.е. как в ISA ? Смотрите что получается,добавляю правило допустим под номером 1
1. Блокирую -протокол TCP - Source все кроме данного IP -Port POP3 -Destination any - Port POP3- Gateway указываю.
Проблема в понимании сетей. У вас выходит
block TCP src=myIP srcport=POP3 to dest=any destport= POP3Кто и где сказал что исходящий Src порт будет POP3? По стандарту кроме отдельных протоколов исходящие пакеты отправляются с последнего свободного в списке номера порта (практически рандомно). Отсюда srcport почти всегда должен быть any
block TCP src=myIP srcport=any to dest=any destport= POP3 -
Изменил первое и второе правило как вы сказали,добавил в 3 данный IP. Результат тот же (((
-
Изменил первое и второе правило как вы сказали,добавил в 3 данный IP. Результат тот же (((
Скриншот правил в формате JPG/PNG ?
-
В алиасы SMTP и Zapret я добавляю конкретный IP,на картинке шлюзы затер
-
Нет
1 разрешить все и вся ICMP - важно
pass ICMP src=any dest= any2 разрешить всем DNS - очень важно
pass TCP/UDP src = any dest=any port=533 разрешить компьютеру ААА Pop
pass tcp src=AAA dest=any port=Pop4 разрешить компьютеру ААА SMTP
pass tcp src=AAA dest=any port=SMTP5 запретить компьютеру ААА Все
pass tcp src=AAA dest=any port=anyдалее по списку
-
При такой схеме все заработало. Огромное спасибо!