PF блочит порты в локалке, не понятно!!!



  • Поднял почтовый сервер вроде всё работает почта  ходит. Решил настроить у юзера из второй подсети, обращаюсь к серверу и тут полный облом. Стучусь на сервер телнетом на 25 порт, глухо пробую пo ip глухо. Смотрю логи и вижу что мой PFsense блочит порты из второй подсети. Прописываю правила, но нет эффекта. Прошу помощи, куда копать? Почтовик 192.168.1.161 Скрины выкладываю.











  • А покажите пожалуйста лист маршрутизации в pfsense



  • @John_PFsense:

    Поднял почтовый сервер вроде всё работает почта  ходит. Решил настроить у юзера из второй подсети, обращаюсь к серверу и тут полный облом. Стучусь на сервер телнетом на 25 порт, глухо пробую пo ip глухо. Смотрю логи и вижу что мой PFsense блочит порты из второй подсети. Прописываю правила, но нет эффекта. Прошу помощи, куда копать? Почтовик 192.168.1.161 Скрины выкладываю.

    У вас два LAN интерфейса на pf ? Так рисуйте разрешающее правило из LAN1 в LAN2 для доступа к почтовику.

    Далее , у вас куча кривых правил в fw :(



  • Так по скринам у Вас второй локальной сети НЕТ.
    Покажите Interfaces: Assign
    В NAT Outbound Вы прописали 3 сети, а в Rules –1 LAN



  • Извиняюсь что пропал на несколько дней. По поводу правил, не совсем ясно, я создал альяс где прописал все подсети которые мне необходимы, см. скрин. Добавил правило котрое мне так кажется должно отрабатывать. Из других подсетей всё ходит. Но вот интересная штука какая, беру ip из второй подсетки нерабочей  машины и даю ему другой ip той же подсети проходит 10-15 мин. телнетом цепляюсь к почтовику. IP  нерабочей машины прописал у себя на ноуте, почтовик зацепился. Вот такая хрень, я подумал что проблема решилась но прошло 3 дня и всё по новой. По поводу кривых правил, укажите на косяк попробую разобраться.










  • Схему сети с полной адресацией рисуйте.



  • Вот общая схема сети. Провёл эксперимент, попытлся подключить одновременно двух пользователей из 55 подсети один подключился а второй нет. Делаю вывод, что дело в маске подсети. Думаю так. Возможно ошибаюсь. Есть у кого идеи?




  • Не увидел маски подсети на схеме. Рисуйте ПОЛНУЮ схему.



  • Всё не просто 5 vlan настроены на 192.168.1.4/24 он маршрутизирует сети (1.0, 30.0,55.0, 2.0, 104.0) у всех 24 маска. Шлюзом на маршрутизаторе указан первый прокси 1.230. Так же в сети поднят ещё прокси на PFsense, часть народа ходит через 1.230 другая часть через 1.134. На почтовом сервере шлюзом прописан 1.134 напрямую. Скрины смотрите, таблицу маршрутизации.



  • Да уж что, нет вариантов решения проблемы? Я уже всю голову сломал, либо это косяк PFsense. Либо у меня не хватает мозгов





  • А где у Вас настройка vlan на pfsense? В Interfaces: Assign network ports у Вас только WAN и LAN.  Настраивайте vlan на LAN интерфейсе. И покажите на схеме маски подсетей



  • Виланы настроены на маршрутизаторе L3 D-Link 192.168.1.4 посмотрите схему сети на скрине. Спасибо за ссылку. Поставил галку Bypass firewall rules for traffic on the same interface пакеты не стали рубится, почта из других сетей пошла, но до конца не разобрался как и куда у меня ходят пакеты. Буду читать мануал , и наблюдать за PF. Хотя не пойму почему это нельзя сделать правилами pf?



  • Буду читать мануал , и наблюдать за PF. Хотя не пойму почему это нельзя сделать правилами pf?

    Статья уважаемого rubic в шапке:
    pfSense: порядок прохождения пакетов
    https://forum.pfsense.org/index.php?topic=73670.0


Log in to reply