Почему vyatta не разрешает SMTP через мой брандмауэр?

Я устанавливаю маршрутизатор Vyatta на VMware ESXi,

Но я вижу, что попал в серьезную загадку, я не мог заставить мой брандмауэр и NAT работать правильно.

Я не уверен, что не так с NAT, но он, кажется, работает сейчас. Но брандмауэр не разрешает трафик от моего интерфейса WAN (eth0) к моей локальной сети (eth1). Я могу подтвердить его брандмауэр, потому что я отключил все правила брандмауэра, и все работало только с NAT. Если снова установить брандмауэры (WAN и LAN), ничто не сможет пройти через порт 25.

Я не совсем уверен, в чем может быть проблема, я использую довольно простые правила брандмауэра, я написал правила, просматривая документы Vyatta, так что, если нет ничего странного с документацией, они "должны" работать.

Вот мои правила NAT до сих пор;

vyatta@gateway# show service nat
 rule 20 {
     description "Zimbra SNAT #1"
     outbound-interface eth0
     outside-address {
         address 74.XXX.XXX.XXX
     }
     source {
         address 10.0.0.17
     }
     type source
 }
 rule 21 {
     description "Zimbra SMTP #1"
     destination {
         address 74.XXX.XXX.XXX
         port 25
     }
     inbound-interface eth0
     inside-address {
         address 10.0.0.17
     }
     protocol tcp
     type destination
 }
 rule 100 {
     description "Default LAN -> WAN"
     outbound-interface eth0
     outside-address {
         address 74.XXX.XXX.XXX
     }
     source {
         address 10.0.0.0/24
     }
     type source
 }

Тогда вот мои правила брандмауэра, вот где я считаю, что проблема.

vyatta@gateway# show firewall
 all-ping enable
 broadcast-ping disable
 conntrack-expect-table-size 4096
 conntrack-hash-size 4096
 conntrack-table-size 32768
 conntrack-tcp-loose enable
 ipv6-receive-redirects disable
 ipv6-src-route disable
 ip-src-route disable
 log-martians enable
 name LAN_in {
     rule 100 {
         action accept
         description "Default LAN -> any"
         protocol all
         source {
             address 10.0.0.0/24
         }
     }
 }
 name LAN_out {
 }
 name LOCAL {
     rule 100 {
         action accept
         state {
             established enable
         }
     }
 }
 name WAN_in {
     rule 20 {
         action accept
         description "Allow SMTP connections to MX01"
         destination {
             address 74.XXX.XXX.XXX
             port 25
         }
         protocol tcp
     }
     rule 100 {
         action accept
         description "Allow established connections back through"
         state {
             established enable
         }
     }
 }
 name WAN_out {
 }
 receive-redirects disable
 send-redirects enable
 source-validation disable
 syn-cookies enable

ПРИМЕЧАНИЕ

Чтобы проверить наличие открытых портов, я использую этот веб-сайт: http://www.yougetsignal.com/tools/open-ports/, он показал, что порт 25 открыт как открытый без правил брандмауэра и закрытый правилами брандмауэра.

ОБНОВИТЬ

Просто чтобы посмотреть, работает ли брандмауэр, я сделал правило, чтобы блокировать SSH из интерфейса WAN. Когда я проверил порт 22 на своем основном WAN-адресе, он сказал, что он все еще открыт, хотя я напрямую заблокировал порт.

Вот правило, которое я использовал;

 rule 21 {
     action reject
     destination {
         address 74.219.80.163
         port 22
     }
     protocol tcp
 }

Так что теперь я убежден, что я делаю что-то не так или брандмауэр работает не так, как должен.

1 ответ

Работает так, как должно. Применяете ли вы правила брандмауэра к зонам или интерфейсам? Если вы настраиваете свои правила для зон, вы также должны создать правила для зон. т.е. WAN-LOCAL,

Другие вопросы по тегам