Почему vyatta не разрешает SMTP через мой брандмауэр?
Я устанавливаю маршрутизатор Vyatta на VMware ESXi,
Но я вижу, что попал в серьезную загадку, я не мог заставить мой брандмауэр и NAT работать правильно.
Я не уверен, что не так с NAT, но он, кажется, работает сейчас. Но брандмауэр не разрешает трафик от моего интерфейса WAN (eth0) к моей локальной сети (eth1). Я могу подтвердить его брандмауэр, потому что я отключил все правила брандмауэра, и все работало только с NAT. Если снова установить брандмауэры (WAN и LAN), ничто не сможет пройти через порт 25.
Я не совсем уверен, в чем может быть проблема, я использую довольно простые правила брандмауэра, я написал правила, просматривая документы Vyatta, так что, если нет ничего странного с документацией, они "должны" работать.
Вот мои правила NAT до сих пор;
vyatta@gateway# show service nat
rule 20 {
description "Zimbra SNAT #1"
outbound-interface eth0
outside-address {
address 74.XXX.XXX.XXX
}
source {
address 10.0.0.17
}
type source
}
rule 21 {
description "Zimbra SMTP #1"
destination {
address 74.XXX.XXX.XXX
port 25
}
inbound-interface eth0
inside-address {
address 10.0.0.17
}
protocol tcp
type destination
}
rule 100 {
description "Default LAN -> WAN"
outbound-interface eth0
outside-address {
address 74.XXX.XXX.XXX
}
source {
address 10.0.0.0/24
}
type source
}
Тогда вот мои правила брандмауэра, вот где я считаю, что проблема.
vyatta@gateway# show firewall
all-ping enable
broadcast-ping disable
conntrack-expect-table-size 4096
conntrack-hash-size 4096
conntrack-table-size 32768
conntrack-tcp-loose enable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name LAN_in {
rule 100 {
action accept
description "Default LAN -> any"
protocol all
source {
address 10.0.0.0/24
}
}
}
name LAN_out {
}
name LOCAL {
rule 100 {
action accept
state {
established enable
}
}
}
name WAN_in {
rule 20 {
action accept
description "Allow SMTP connections to MX01"
destination {
address 74.XXX.XXX.XXX
port 25
}
protocol tcp
}
rule 100 {
action accept
description "Allow established connections back through"
state {
established enable
}
}
}
name WAN_out {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
ПРИМЕЧАНИЕ
Чтобы проверить наличие открытых портов, я использую этот веб-сайт: http://www.yougetsignal.com/tools/open-ports/, он показал, что порт 25 открыт как открытый без правил брандмауэра и закрытый правилами брандмауэра.
ОБНОВИТЬ
Просто чтобы посмотреть, работает ли брандмауэр, я сделал правило, чтобы блокировать SSH из интерфейса WAN. Когда я проверил порт 22 на своем основном WAN-адресе, он сказал, что он все еще открыт, хотя я напрямую заблокировал порт.
Вот правило, которое я использовал;
rule 21 {
action reject
destination {
address 74.219.80.163
port 22
}
protocol tcp
}
Так что теперь я убежден, что я делаю что-то не так или брандмауэр работает не так, как должен.
1 ответ
Работает так, как должно. Применяете ли вы правила брандмауэра к зонам или интерфейсам? Если вы настраиваете свои правила для зон, вы также должны создать правила для зон. т.е. WAN-LOCAL,