|
Закрыть 25 исходящий порт
Здравствуйте. Подскажите, как в Windows 2003 sp 2 закрыть для локальной сети через службу RRAS или другими способами исходящие соединения на 25 порт, оставив при этом возможность подключения на локальный smtp сервер?
Дело в том, что в RRAS есть два варианта фильтрации: можно заблокировать все соединения на 25 порт или прописывать правила для работы всех портов и протоколов. В первом случае отсутствует возможность разрешить один или несколько адресов для соединения на 25 порт. Во втором случае нужно создать кучу правил, чтобы интернет в локальной сети полноценно работал. Это займет физически дня два и скорее всего, будет сильно есть ресурсы. Пробовал портированную версию wipfw, но она не работает с NAT. Какие могут быть варианты. Пожалуйста, подскажите. Спасибо. |
Цитата:
|
exo, что, работает? Честно, не нашел. Как раз и в интернете пишут, что портированная под Windows версия nat не поддерживает. Локально при этом все работает.
|
Цитата:
Цитата:
|
Ну хорошо. Nat у меня через RRAS. Вот я установил wipfw и прописал команду
Код:
ipfw add 00101 allow tcp from 192.168.0.1 1-65535 to 10.4.81.32 25 out |
Цитата:
вы хотите, что бы для всех кроме одного сервера был закрыт доступ? |
Да может и я перегрелся :)
192.168.0.1 это шлюз для клиентов локальной сети. Соответственно, логика такова, что пакеты от ip шлюза как-бы должны фильтроваться wipfw. Может, я ошибаюсь? То есть, если локально установить этот wipfw на компьютер из локальной сети, при аналогичной раскладке все работает. При установке на шлюзе через нат не работает. Вот и загвоздка. exo, я хочу, чтобы компьютеры из локальной сети, могли подключаться только к одному smtp серверу - в данном случае локальному. Просто через нат можно подключиться к любому smtp серверу. |
Цитата:
Цитата:
|
Смотрите. Есть почтовый сервер в локальной сети. Его ip 10.4.81.32.
И есть много других почтовых серверов в интернете. На серере-шлюзе настроена служба RRAS - один интерфейс смотрит в интернет, другой в локальную сеть. Интернет ip 10.4.81.32 ip интерфейса в локальную сеть 192.168.0.1 У клиентов локальной сети шлюз 192.168.0.1 Клиент локальной сети может у себя настроить отправку писем через любой почтовый сервер, а нужно, чтобы мог отправлять почту только через 10.4.81.32 Вот такая задача. Если я ставлю wipfw на клиентский компьютер, и прописываю выше приведенные команды, естественно с заменой ip все работает, клиент не может достучаться никуда, кроме как на 10.4.81.32. Стоит прописать это же на шлюзе, у клиента все работает. Может быть, действительно версия wipfw не та? |
Цитата:
Цитата:
Цитата:
Локальная сеть у вас 192-ая... читали эту тему? http://forum.oszone.net/thread-137467.html |
Цитата:
|
|
Да здесь все просто. Естественно, почтовый сервер имеет внешний ip и все это прекрасно работает. Проблема в том, что нужно, чтобы к 25 порту можно было подключиться из локальной сети только к этому серверу и больше никакому. Что же тут непонятного?
Говорю условно Ip адрес клиента 192.168.0.3 Ip адрес шлюза 192.168.0.1 Ip адрес провайдера 192.168.1.2 Ip адрес почтового сервера 10.4.81.32 Нужно, чтобы с адреса 192.168.0.3 можно было подключиться к 25 порту только на адрес 10.4.81.32 Все. P. S Внешний адрес почтового сервера 194.146.196.243 |
так, по порядку. а если создать на шлюзе одно правило - блокировать все 25 порт - блокирует?
Цитата:
|
Цитата:
Сейчас буду пробовать. По идее Код:
ipfw add 00101 deny from 192.168.0.1 1-65535 to any 25 out |
Цитата:
только у вас указан хост 192.168.0.1 а не сеть... документацию так и не читали: http://wipfw.sourceforge.net/doc-ru.html#synopsis Цитата:
Цитата:
|
|
Цитата:
|
Цитата:
Только что ввел настройки - не работает. То есть на шлюзе прописано это правило, а клиент как подключался ко всем серверам, так и подключается. Службу ipfw перезапускал. |
|
Код:
ipfw add 00101 deny tcp from 192.168.0.1 1-65535 to any 25 out |
Цитата:
а у клиента 192.168.0.3 - я писал вам об этом. клиент не попадает под это правило. |
При правиле
Код:
ipfw add 00101 deny tcp from 192.168.0.0/24 1-65535 to any 25 outКстати, эти настройки пропадают при перезапуске службы. |
Цитата:
|
Код:
C:\WINDOWS\system32\wipfw\bin>ipfw sh |
Цитата:
попробуйте: Цитата:
|
Нет, все по-прежнему. Пробовал и удалять и т. д.
Все равно спасибо. Может завтра что-нибудь и получится. |
Redew, может, не мудрствовать лукаво, установить на шлюз бесплатную версию TMeter и настроить один единственный фильтр с 2-мя правилами:
1-е разрешает трафик по 25-му порту к почтовику: Источник: IP адреса локальной сети Порт: любой порт Действие: не обрабатывать вообще Через сетевой адаптер: внутренний Протокол: TCP Назначение: определённый IP адрес (адрес почтовика) Порт: Равно: 25 2-е блокирует весь трафик по 25-му порту. |
Angry Demon, надо попробовать. Только есть определенные опасения совместимости со службой RRAS например или еще с чем-либо. А то я установил однажды вроде бы безобидную программу Lansafety, у меня после этого полгода подряд компьютер самопроизвольно выключался. Еле докопался до гада. Удалил - все пошло как по маслу. Не хотелось бы повторений.
|
Здравствуйте. Утро вечера мудреней.
Разобрался с сохранением настроек wipfw. Нужно отредактировать соответстующим образом файл wipfw.conf и затем запустить на выполнение файл loadrules.cmd. Заблокировать 25 порт для пользователей локальной сети помогла команда Код:
ipfw add deny tcp from 192.168.0.0/24 1-65535 to any 25 setup keep-stateКод:
ipfw add allow tcp from 192.168.0.0/24 1-65535 to 10.4.81.32 25 setup keep-stateP. S. Версия wipfw-0.2.8. |
Цитата:
|
| Время: 05:41. |
Время: 05:41.
© OSzone.net 2001-