Nat на определнные порты.



  • Нужно что бы только внутренний почтовый сервер мог отправлять почту во внешний мир (192.168.1.10) на хост провайдера (например х.х.х.х порт 25)
    Ну и забирать мог только с определнного хоста у.у.у.у порт 110.
    Никто другой не мог соединяться с портами 25 и 110 в инете :)

    И так же надо сделать, что бы пользователям локалки 192.168.1.0\24 в инете можно было соединяться только с портами 80, 443, 8080 (т.е исходящий трафик только на 80, 443 и 8080 порты).

    Я новичек подскажите плиз, как это можно сделать?



  • Прописать на LAN RULES-правила типа
    // разрешить служебные протоколы доступ к файрволу, ICMP DNS
    allow any src=LAN_subnet port=any dst=LAN_interface port=any
    allow icmp src=any port=any dst=any port=any
    allow tcp/udp src=LAN_subnet port=any dst=any port=DNS

    // разрешить 25 порт для 192.168.1.10
    allow tcp/udp src=192.168.1.10 port=any dst=х.х.х.х port=25
    // запретить остальным
    deny tcp/udp src=any port=any dst=!LanIP port=25
    // разрешить 110 порт для 192.168.1.10
    allow tcp/udp src=192.168.1.10 port=any dst=у.у.у.у port=110
    // запретить остальным
    deny tcp/udp src=any port=any dst=!LanIP port=110
    // разрешить 80 443 8080
    allow tcp/udp src=192.168.1.0\24 port=any dst=any port=80
    allow tcp/udp src=192.168.1.0\24 port=any dst=any port=443
    allow tcp/udp src=192.168.1.0\24 port=any dst=any port=8080
    // запретить все остальное
    deny any src=any port=any dst=any port=any

    на WAN
    // разрешить трафик с локалки
    allow tcp/udp src=LAN_address port=any dst=any port=any
    allow tcp/udp src=LAN_subnet port=any dst=any port=any
    // запретить все остальное
    deny any src=any port=any dst=any port=any

    NAT разрешить на Lan src=192.168.1.0\24  - any, any, any, any, any
    Рулить нат отдельно по каждому порту смысла не вижу Лучше управлять Rules на LAN



  • Большое спасибо за быстрый ответ!
    Все получилось!


Locked