Не получается закрыть 25 порт для Lan



  • Не получается закрыть 25 порт для Lan
    правила создал , очередность правильная.
    Версия 2.1
    ID Proto Source Port Destination Port Gateway Queue Schedule Description

    pass * * * LAN Address 443 80 22 * * Anti-Lockout Rule
    block IPv4 TCP LAN net * * 25 (SMTP) * none    
    pass IPv4 * LAN net * * * MultiWan none   Default allow LAN to any rule

    извиняюсь, перезалил картинку (и 110 порт тоже нужно закрыть)




  • Я на Вашем скрине не вижу правила, блокирующего 25-й порт.



  • Судя по картинке, после правила запрета POP3 и перед правилом "разрешить все" нужно добавить правило, которое будет запрещать 25 порт.



  • Укажите в запрещающем правиле gateway явным образом - Multiwan.



  • Указал явно в gateway Multiwan - не помогло



  • посмотрел через pfctl -sr
    правило есть

    block drop in log quick on ae0 inet proto tcp from 192.168.10.0/24 to any port = smtp flags S/SA



  • А на каком ресурсе вы проверяте закрытость порта?



  • У меня есть  почтовый сервер в локалке. соединяюсь  с ним через почтового клиента. а так же пробовал запретить порты 465,143-тоже не получилось
    Задача стоит- запретить работу с почтой везде, кроме своего локального почтового сервера.
    Но для примера просто попробовал запретить работу с портом-ничего не получилось.



  • При тестировании доступа на 25 порт указываете сервер в локальной сети? Или используете внешний?



  • У меня есть  почтовый сервер в локалке.

    :'(  :o

    Ну сколько можно одно и тоже 25 раз посторять ?!
    Нельзя заблокировать то, что находится в одной локальной сети с pfsense.



  • @werter:

    Ну сколько можно одно и тоже 25 раз посторять ?!
    Нельзя заблокировать то, что находится в одной локальной сети с pfsense.

    Спасибо. теперь понятно.Только остался один вопрос. можно ли закрыть хождение на внешние порты
    SMTP/S и imap/s  - 465 и 993? не получается закрыть вне локальной сети
    т.е. чтобы пользователи могли работать с  почтовым сервером в локальной сети и не могли работать со внешними серверами через outlook и т.д.
    такие настройки все равно дают возможность работать  с этими портами




  • Смените source порты (465 и 993) в правилах  на any (*)



  • Спасибо. все получилось.