cubespace
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте !
Есть сервер
FreeBSD 8.2-RC2
он же выступает в роли шлюза для нета, и раздает пользователям в сети! + почтовый сервер ( postfix+courier-imap) + PostfixAdmin
его IP:
192.168.1.1
XX.XX.XX.94 - белый ІР
Пользователи входят в нет с XX.XX.XX.94 и на нем же работает почтовый сервер Postfix
Как в PF заблокировать доступ на 25 для локальной сети, и сделать белей список кому можно использовать 25 порт?
Я вот сделал так :
igb0 - внешний интерфейс
igb1 - локальный интерфейс
Вот строчки блокировки:
Код:
ext_if="igb0"
int_if="igb1"
table <mail> { 192.168.1.101, 192.168.1.103, 192.168.1.3, ХХ.ХХ.ХХ.189 )
#block port 25
block log on $int_if inet proto tcp from !<mail> to any port 25
|
Код:
# cat /etc/pf.conf | grep -v ^# | grep -v ^$
ext_ip="XX.XX.XX.94"
ext_ip2="XX.XX.XX.188"
ext_ip_dg1="WW.WW.WW.38"
ext_ip_dg2="10.67.2.34"
ext_gw="XX.XX.XX.93"
ext_gw_dg1="WW.WW.WW.37"
ext_gw_dg2="10.67.2.33"
ext_if="igb0"
ext_if2="fxp1"
ua9_if="vlan0"
ua9_ip="CC.CC.CC.50"
ua9_gw="CC.CC.CC.49"
int_if="igb1"
internal_net="192.168.1.2/22"
table <modems> { 192.168.0.50, 192.168.2.50 }
table <badhosts> persist
table <mail> { 192.168.1.101, 192.168.1.3, XX.XX.XX.189 }
table <realnet> persist { XX.XX.XX.76/28, RR.RR.RR.RR/30 }
table <limited> persist file "/etc/limited.conf"
set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
set limit { states 100000, frags 100000 }
set loginterface none
set optimization aggressive
set block-policy drop
set require-order yes
set fingerprints "/etc/pf.os"
scrub in all
altq on igb1 bandwidth 300Mb cbq qlimit 1000 queue {std, admin, limited}
queue std bandwidth 45% cbq(default borrow red)
queue admin bandwidth 5% cbq(borrow red)
queue limited bandwidth 50% cbq(red)
nat on $ext_if from $internal_net to any -> ($ext_if:0)
nat on $ext_if2 from $internal_net to any -> {$ext_if2:0}
nat on $ua9_if from $internal_net to any -> {$ua9_if:0}
nat on $ua9_if from <realnet> to any -> {$ua9_if:0}
rdr on $ext_if proto tcp from any to $ext_ip port 27015 -> 192.168.1.101 port 27015
rdr on $ext_if proto udp from any to $ext_ip port 27015 -> 192.168.1.101 port 27015
rdr on $ext_if proto tcp from any to $ext_ip port 27025 -> 192.168.1.101 port 27025
rdr on $ext_if proto udp from any to $ext_ip port 27025 -> 192.168.1.101 port 27025
rdr on $ext_if proto tcp from any to $ext_ip port 27035 -> 192.168.1.101 port 27035
rdr on $ext_if proto udp from any to $ext_ip port 27035 -> 192.168.1.101 port 27035
pass out all
pass in all
pass in on $int_if from any to !192.168.1.1 keep state (max-src-conn 2000) queue std
pass in on $int_if from <limited> to !192.168.1.1 flags S/SA keep state (max-src-conn 600) queue limited
pass in on $int_if from 192.168.1.3 to <modems> queue admin
block log on $int_if inet proto tcp from !<mail> to any port 25
block log on $ext_if from <badhosts> to any
|
Некоторым клиентам выдан белый айпи, и они нормально работают из подсети, есть клиенты фирмы у которых свои сервера, на этих айпишках
ХХ.ХХ.ХХ.189 - белый айпи клиента!
почему у него блокируется входящий порт 25 ? и как его разрешить ?
когда я снимаю это правило то тогда работает , у клиента есть доступ на 25 порт из вне, а так не работает
Как разрешить доступ НА 25 порт, пользователям, которые добавлены в список и имеют белый айпи!
Если отключить правило в PF, то к ним есть доступ по 25 порту, а когда использовать это правило, то выход по 25 есть а входа нет!!
Как решить ? |
