Здравствуйте. Подскажите, как в Windows 2003 sp 2 закрыть для локальной сети через службу RRAS или другими способами исходящие соединения на 25 порт, оставив при этом возможность подключения на локальный smtp сервер?
Дело в том, что в RRAS есть два варианта фильтрации: можно заблокировать все соединения на 25 порт или прописывать правила для работы всех портов и протоколов. В первом случае отсутствует возможность разрешить один или несколько адресов для соединения на 25 порт. Во втором случае нужно создать кучу правил, чтобы интернет в локальной сети полноценно работал. Это займет физически дня два и скорее всего, будет сильно есть ресурсы.
Пробовал портированную версию wipfw, но она не работает с NAT.
Какие могут быть варианты. Пожалуйста, подскажите. Спасибо.

wipfw, но она не работает с NAT »
а если почитать документацию?

exo, что, работает? Честно, не нашел. Как раз и в интернете пишут, что портированная под Windows версия nat не поддерживает. Локально при этом все работает.

Как раз и в интернете пишут »
http://sourceforge.net/projects/wipfw/forums/forum/388595/topic/1475065
you can try do NAT over server OS resurses
wipfw сам не создаёт НАТ

Ну хорошо. Nat у меня через RRAS. Вот я установил wipfw и прописал команду
ipfw add 00101 allow tcp from 192.168.0.1 1-65535 to 10.4.81.32 25 out
ipfw add 00102 deny from 192.168.0.1 1-65535 to any 25 out
Локально доступа нет, все нормально, через nat все работает. Может, версия не та, или синтаксиса не хватает?

Локально доступа нет »
не совсем понимаю

вы хотите, что бы для всех кроме одного сервера был закрыт доступ?

Да может и я перегрелся :)
192.168.0.1 это шлюз для клиентов локальной сети.
Соответственно, логика такова, что пакеты от ip шлюза как-бы должны фильтроваться wipfw. Может, я ошибаюсь?
То есть, если локально установить этот wipfw на компьютер из локальной сети, при аналогичной раскладке все работает. При установке на шлюзе через нат не работает. Вот и загвоздка.

exo, я хочу, чтобы компьютеры из локальной сети, могли подключаться только к одному smtp серверу - в данном случае локальному. Просто через нат можно подключиться к любому smtp серверу.

Соответственно, логика такова, что пакеты от шлюза как-бы должны фильтроваться wipfw. Может, я ошибаюсь? »
всё правильно.
при аналогичной раскладке все работает »
я так и не понял вашей задачи. Что вам нужно в итоге? только не в общих словах, а в конкретных примерах, пожалуйста.

Смотрите. Есть почтовый сервер в локальной сети. Его ip 10.4.81.32.
И есть много других почтовых серверов в интернете.
На серере-шлюзе настроена служба RRAS - один интерфейс смотрит в интернет, другой в локальную сеть.
Интернет ip 10.4.81.32
ip интерфейса в локальную сеть 192.168.0.1

У клиентов локальной сети шлюз 192.168.0.1

Клиент локальной сети может у себя настроить отправку писем через любой почтовый сервер, а нужно, чтобы мог отправлять почту только через 10.4.81.32

Вот такая задача. Если я ставлю wipfw на клиентский компьютер, и прописываю выше приведенные команды, естественно с заменой ip все работает, клиент не может достучаться никуда, кроме как на 10.4.81.32. Стоит прописать это же на шлюзе, у клиента все работает.
Может быть, действительно версия wipfw не та?

Смотрите. »
сервер в локальной сети. Его ip 10.4.81.32. »
На серере-шлюзе настроена служба RRAS - один интерфейс смотрит в интернет, другой в локальную сеть.
Интернет ip 10.4.81.32 »
не понимаю... сервер в локальной сети и в тоже время в "интернет" сети.
Локальная сеть у вас 192-ая...

читали эту тему? http://forum.oszone.net/thread-137467.html

Интернет ip 10.4.81.32 »
Ладно, проехали :) Действительно, чего-то я немного напутал. Это адрес почтового сервера. Я имел в виду ip адрес, который выдает провайдер. Условно 192.168.1.2

прописываю выше приведенные команды »
может дело в том, что шлюз и почтовый сервер это одно и тоже?
Я имел в виду ip адрес »
если вы описываете внешние сети в задании - то не берите для описании частные адреса...

Да здесь все просто. Естественно, почтовый сервер имеет внешний ip и все это прекрасно работает. Проблема в том, что нужно, чтобы к 25 порту можно было подключиться из локальной сети только к этому серверу и больше никакому. Что же тут непонятного?
Говорю условно

Ip адрес клиента 192.168.0.3
Ip адрес шлюза 192.168.0.1
Ip адрес провайдера 192.168.1.2
Ip адрес почтового сервера 10.4.81.32

Нужно, чтобы с адреса 192.168.0.3 можно было подключиться к 25 порту только на адрес 10.4.81.32
Все.
P. S Внешний адрес почтового сервера 194.146.196.243

так, по порядку. а если создать на шлюзе одно правило - блокировать все 25 порт - блокирует?
Что же тут непонятного? »
читайте рекомендации.

так, по порядку. а если создать на шлюзе одно правило - блокировать все 25 порт - блокирует? »
С wipwf не пробовал. Фильтры RRAS блокируют, но в этом толку нет.
Сейчас буду пробовать. По идее
ipfw add 00101 deny from 192.168.0.1 1-65535 to any 25 out должно работать?

должно работать? »
если синтаксис правильный - да.
только у вас указан хост 192.168.0.1 а не сеть...
документацию так и не читали:
http://wipfw.sourceforge.net/doc-ru.html#synopsis

ip-адрес
Адрес указанный одним из следующих способов, произвольно которым предшествует оператор not:
any
Соответствует любому IP адресу.
числовой-ip | имя_хоста
Соответствует отдельному адресу IPv4, указанному в точечной нотации или именем хоста. Имя хоста разрешается во время добавления правила к списку правил системы сетевой защиты.
адрес/биты
IP-адрес в виде четверки чисел через точку плюс размер маски в битах, например, 1.2.3.4/24.
В данном случае соответствовать будут все IP-адреса в диапазоне от 1.2.3.0 до 1.2.3.255.

адрес:маска
IP-адрес в виде четверки чисел с маской через точку в виде четверки чисел через точку, например, 1.2.3.4:255.255.240.0.
В данном случае соответствовать будут все IP-адреса в диапазоне от 1.2.0.0 до 1.2.15.255.

IP-адрес в виде четверки чисел через точку
улыбнуло...

если синтаксис правильный - да. »
На клиентском компьютере работает.

только у вас указан хост 192.168.0.1 а не сеть... »
Да, так и есть, в случае с клиентом 192.168.0.3, в случае со шлюзом 192.168.0.1

, в случае со шлюзом 192.168.0.1 »
а у вас шлюз идёт к серверу или клиент???? видимо вам ещё следует почитать про работу NAT и модель OSI....

а у вас шлюз идёт к серверу или клиент???? »
То есть? Клиент идет к серверу почтовому через шлюз. 192.168.0.3 - 192.168.0.1 - 10.4.81.32
Только что ввел настройки - не работает. То есть на шлюзе прописано это правило, а клиент как подключался ко всем серверам, так и подключается. Службу ipfw перезапускал.

192.168.0.3 - 192.168.0.1 - 10.4.81.32 »
и какой адрес видит шлюз ? что он анализирует?
Только что ввел настройки »
что именно? сеть, шлюз, клиент ?