cubespace
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Здравствуйте ! Есть сервер FreeBSD 8.2-RC2 он же выступает в роли шлюза для нета, и раздает пользователям в сети! + почтовый сервер ( postfix+courier-imap) + PostfixAdmin его IP: 192.168.1.1 XX.XX.XX.94 - белый ІР Пользователи входят в нет с XX.XX.XX.94 и на нем же работает почтовый сервер Postfix Как в PF заблокировать доступ на 25 для локальной сети, и сделать белей список кому можно использовать 25 порт? Я вот сделал так : igb0 - внешний интерфейс igb1 - локальный интерфейс Вот строчки блокировки: Код: ext_if="igb0" int_if="igb1" table <mail> { 192.168.1.101, 192.168.1.103, 192.168.1.3, ХХ.ХХ.ХХ.189 ) #block port 25 block log on $int_if inet proto tcp from !<mail> to any port 25 | Код: # cat /etc/pf.conf | grep -v ^# | grep -v ^$ ext_ip="XX.XX.XX.94" ext_ip2="XX.XX.XX.188" ext_ip_dg1="WW.WW.WW.38" ext_ip_dg2="10.67.2.34" ext_gw="XX.XX.XX.93" ext_gw_dg1="WW.WW.WW.37" ext_gw_dg2="10.67.2.33" ext_if="igb0" ext_if2="fxp1" ua9_if="vlan0" ua9_ip="CC.CC.CC.50" ua9_gw="CC.CC.CC.49" int_if="igb1" internal_net="192.168.1.2/22" table <modems> { 192.168.0.50, 192.168.2.50 } table <badhosts> persist table <mail> { 192.168.1.101, 192.168.1.3, XX.XX.XX.189 } table <realnet> persist { XX.XX.XX.76/28, RR.RR.RR.RR/30 } table <limited> persist file "/etc/limited.conf" set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 } set limit { states 100000, frags 100000 } set loginterface none set optimization aggressive set block-policy drop set require-order yes set fingerprints "/etc/pf.os" scrub in all altq on igb1 bandwidth 300Mb cbq qlimit 1000 queue {std, admin, limited} queue std bandwidth 45% cbq(default borrow red) queue admin bandwidth 5% cbq(borrow red) queue limited bandwidth 50% cbq(red) nat on $ext_if from $internal_net to any -> ($ext_if:0) nat on $ext_if2 from $internal_net to any -> {$ext_if2:0} nat on $ua9_if from $internal_net to any -> {$ua9_if:0} nat on $ua9_if from <realnet> to any -> {$ua9_if:0} rdr on $ext_if proto tcp from any to $ext_ip port 27015 -> 192.168.1.101 port 27015 rdr on $ext_if proto udp from any to $ext_ip port 27015 -> 192.168.1.101 port 27015 rdr on $ext_if proto tcp from any to $ext_ip port 27025 -> 192.168.1.101 port 27025 rdr on $ext_if proto udp from any to $ext_ip port 27025 -> 192.168.1.101 port 27025 rdr on $ext_if proto tcp from any to $ext_ip port 27035 -> 192.168.1.101 port 27035 rdr on $ext_if proto udp from any to $ext_ip port 27035 -> 192.168.1.101 port 27035 pass out all pass in all pass in on $int_if from any to !192.168.1.1 keep state (max-src-conn 2000) queue std pass in on $int_if from <limited> to !192.168.1.1 flags S/SA keep state (max-src-conn 600) queue limited pass in on $int_if from 192.168.1.3 to <modems> queue admin block log on $int_if inet proto tcp from !<mail> to any port 25 block log on $ext_if from <badhosts> to any | Некоторым клиентам выдан белый айпи, и они нормально работают из подсети, есть клиенты фирмы у которых свои сервера, на этих айпишках ХХ.ХХ.ХХ.189 - белый айпи клиента! почему у него блокируется входящий порт 25 ? и как его разрешить ? когда я снимаю это правило то тогда работает , у клиента есть доступ на 25 порт из вне, а так не работает Как разрешить доступ НА 25 порт, пользователям, которые добавлены в список и имеют белый айпи! Если отключить правило в PF, то к ним есть доступ по 25 порту, а когда использовать это правило, то выход по 25 есть а входа нет!! Как решить ? |