Господа Одмины подскажите как закрыть наружу 25 порт с помощь IPFW. Ситуация следующая:
Есть машинка на FreeBSD 7, она используеться как шлюз нет настроен через нат. На ней же стоит почтовик postfix, есть еще один почтовик на хостинге. Надо что бы клиенты из внутренней сети имели доступ к обоим почтовикам. При это 25 порт из внутренней сети наружу должен быть закрыт. В качестве клиентов внутри используються outlook exspress.
всю схему надо реализовать именно на донном ПО.
IPFW закрыть 25 порт
Модератор: arachnid
IPFW закрыть 25 порт
Админ долго мнил себя богом сети,пока электрик не развеял этот миф....
Re: IPFW закрыть 25 порт
crazycat писал(а): ↑09.12.2008 15:02Господа Одмины подскажите как закрыть наружу 25 порт с помощь IPFW. Ситуация следующая:
Есть машинка на FreeBSD 7, она используеться как шлюз нет настроен через нат. На ней же стоит почтовик postfix, есть еще один почтовик на хостинге. Надо что бы клиенты из внутренней сети имели доступ к обоим почтовикам. При это 25 порт из внутренней сети наружу должен быть закрыт.
Ну если совсем по простому:
Код: Выделить всё
ipfw add allow tcp from ${localnet} to ${mailserver1},${mailserver2} 25 out
ipfw add deny tcp from ${localnet} to any 25 outА еще лучше разрешить только то, что нужно и куда нужно, остальное запретить. В хендбуке есть хороший пример правил с пояснениями. Там и NAT, и проверка состояния, и разрешение только некоторых портов. Возьми и подправь под себя.
Убить всех человеков!
Re: IPFW закрыть 25 порт
Poor Fred писал(а): ↑09.12.2008 17:25crazycat писал(а): ↑09.12.2008 15:02Господа Одмины подскажите как закрыть наружу 25 порт с помощь IPFW. Ситуация следующая:
Есть машинка на FreeBSD 7, она используеться как шлюз нет настроен через нат. На ней же стоит почтовик postfix, есть еще один почтовик на хостинге. Надо что бы клиенты из внутренней сети имели доступ к обоим почтовикам. При это 25 порт из внутренней сети наружу должен быть закрыт.
Ну если совсем по простому:
Код: Выделить всё
ipfw add allow tcp from ${localnet} to ${mailserver1},${mailserver2} 25 out ipfw add deny tcp from ${localnet} to any 25 out
А еще лучше разрешить только то, что нужно и куда нужно, остальное запретить. В хендбуке есть хороший пример правил с пояснениями. Там и NAT, и проверка состояния, и разрешение только некоторых портов. Возьми и подправь под себя.
Не уж то handbook удосужился перевести IPFW на Russian???
Прикольное правило, не могу только понять, зачем smtp перекрывать и как тогда почта ходить будет, будете пользоваться чужими smtp??? опишите проблему поконкретней!
Может у Вас просто smtp по ssl или еще как работает, может по другому порту... не понятно это ну никак
Надо что бы клиенты из внутренней сети имели доступ к обоим почтовикам. При это 25 порт из внутренней сети наружу должен быть закрыт.
дайте денег на обновление портов :)
Re: IPFW закрыть 25 порт
Как я понял - есть два внутренних почтовика, через них юзеры и должны ходить. И больше - ни-ни!
Кстати, я забыл там разрешить самому почтовику выход на 25 порт. Впрочем - слишком мало вводных, да и нет универсальных правил на все случаи. Самому нужно думать и пробовать.
Не уж то handbook удосужился перевести IPFW на Russian???
Это такая проблема - перенести тупо образец на свой шлюз и подпилить правила даже не особо углубляясь в комментарии?
Убить всех человеков!
Re: IPFW закрыть 25 порт
cmd="ipfw -q add"
oif="fxp0" #Внешний интерфейс
iif="fxp1" #внутренний интерфейс
oip="xx.xx.xx.xx" # внешний ip
iip="192.168.0.1" # внутренний ip
onet="xx.xx.xx.0" # внешняя сеть
inet="192.168.0.0" # внутренняя сеть
mailserver="yy.yy.yy.yy # ip мэйлсервера провайдера
# для роутера
$cmd 100 allow tcp from $oip to any 25 out via $oif #Разрешаем с внешнего айпишника любые исходящие соединения на 25 порт через внешний интерфейс
$cmd 101 allow tcp from any 25 to me in via $oif #Разрешаем входящий трафик по 25 порту через внешний интерфейс
# для прова
$cmd 102 allow tcp from $inet to $mailserver 25 out via $oif
# Разумеется при этом во внутренней сети должно быть все разрешено
Ну вот так примерно
oif="fxp0" #Внешний интерфейс
iif="fxp1" #внутренний интерфейс
oip="xx.xx.xx.xx" # внешний ip
iip="192.168.0.1" # внутренний ip
onet="xx.xx.xx.0" # внешняя сеть
inet="192.168.0.0" # внутренняя сеть
mailserver="yy.yy.yy.yy # ip мэйлсервера провайдера
# для роутера
$cmd 100 allow tcp from $oip to any 25 out via $oif #Разрешаем с внешнего айпишника любые исходящие соединения на 25 порт через внешний интерфейс
$cmd 101 allow tcp from any 25 to me in via $oif #Разрешаем входящий трафик по 25 порту через внешний интерфейс
# для прова
$cmd 102 allow tcp from $inet to $mailserver 25 out via $oif
# Разумеется при этом во внутренней сети должно быть все разрешено
Ну вот так примерно
дайте денег на обновление портов :)
Re: IPFW закрыть 25 порт
Poor Fred писал(а): ↑10.12.2008 04:47Как я понял - есть два внутренних почтовика, через них юзеры и должны ходить. И больше - ни-ни!
Кстати, я забыл там разрешить самому почтовику выход на 25 порт. Впрочем - слишком мало вводных, да и нет универсальных правил на все случаи. Самому нужно думать и пробовать.
Не совсем так есть 2 почтовика принадлежащих компании один в локалке второй с наружи т.е. в другом городе. Надо что бы юзвери слали мессаги исключительно через эти почтовики. Причем доступ необходим к обоим. Местный почтовик должен иметь конекты с кем угодно, как внутрь так и наружу.
Админ долго мнил себя богом сети,пока электрик не развеял этот миф....
Re: IPFW закрыть 25 порт
Ну я Вам так и написал, только про pop 110 порт тоже не забывайте
дайте денег на обновление портов :)
Re: IPFW закрыть 25 порт
Есть еще интерфейс ng0 тот который создает MPD4 при конекте. Через какой интрефейс почтовик в этом случае работает?
Админ долго мнил себя богом сети,пока электрик не развеял этот миф....
Re: IPFW закрыть 25 порт
Убить всех человеков!
Re: IPFW закрыть 25 порт
Poor Fred писал(а): ↑11.12.2008 14:15А это как раз у тебя надо спрашивать. Таблица маршрутизации какова?
Код: Выделить всё
netstat -rn
Код: Выделить всё
default 10.7.3.2
10.7.3.2 "мой внешний ip"
10.30.1.0/24 link#2
127.0.0.0 127.0.0.0
192.168.16.0/24 link#1Изначально шлюз и он же PPTP сервер 10.30.1.1, 10.7.3.2 -местный шлюз
Админ долго мнил себя богом сети,пока электрик не развеял этот миф....