web-dev-qa-db-ja.com

vyattaがファイアウォールを介したSMTPを許可しないのはなぜですか?

VMwareESXiでvyattaルーターをセットアップしています。

しかし、大きな問題にぶつかったようです。ファイアウォールとNATを正しく機能させることができませんでした。

NATの何が問題だったのかわかりませんが、現在は機能しているようです。しかし、ファイアウォールは私のWANインターフェイス(eth0 )をLAN(eth1)に送信します。すべてのファイアウォールルールを無効にし、すべてがNATのみで機能したため、ファイアウォールを確認できます。ファイアウォール(WANおよびLAN)を元の場所に戻すと、ポート25に何も到達できません。

かなり基本的なファイアウォールルールを使用しているので、問題が何であるかはよくわかりません。vyattaのドキュメントを見ながらルールを作成したので、ドキュメントに何か奇妙なことがない限り、それらは機能するはずです。

これが私のNATこれまでのルールです。

vyatta@gateway# show service nat
 rule 20 {
     description "Zimbra SNAT #1"
     outbound-interface eth0
     outside-address {
         address 74.XXX.XXX.XXX
     }
     source {
         address 10.0.0.17
     }
     type source
 }
 rule 21 {
     description "Zimbra SMTP #1"
     destination {
         address 74.XXX.XXX.XXX
         port 25
     }
     inbound-interface eth0
     inside-address {
         address 10.0.0.17
     }
     protocol tcp
     type destination
 }
 rule 100 {
     description "Default LAN -> WAN"
     outbound-interface eth0
     outside-address {
         address 74.XXX.XXX.XXX
     }
     source {
         address 10.0.0.0/24
     }
     type source
 }

次に、これが私のファイアウォールルールです。これが問題であると私が信じているところです。

vyatta@gateway# show firewall
 all-ping enable
 broadcast-ping disable
 conntrack-expect-table-size 4096
 conntrack-hash-size 4096
 conntrack-table-size 32768
 conntrack-tcp-loose enable
 ipv6-receive-redirects disable
 ipv6-src-route disable
 ip-src-route disable
 log-martians enable
 name LAN_in {
     rule 100 {
         action accept
         description "Default LAN -> any"
         protocol all
         source {
             address 10.0.0.0/24
         }
     }
 }
 name LAN_out {
 }
 name LOCAL {
     rule 100 {
         action accept
         state {
             established enable
         }
     }
 }
 name WAN_in {
     rule 20 {
         action accept
         description "Allow SMTP connections to MX01"
         destination {
             address 74.XXX.XXX.XXX
             port 25
         }
         protocol tcp
     }
     rule 100 {
         action accept
         description "Allow established connections back through"
         state {
             established enable
         }
     }
 }
 name WAN_out {
 }
 receive-redirects disable
 send-redirects enable
 source-validation disable
 syn-cookies enable

[〜#〜]補足[〜#〜]

このWebサイトを使用して開いているポートをテストするために http://www.yougetsignal.com/tools/open-ports/ 、ポート25がファイアウォールルールなしで開いており、ファイアウォールで閉じていることが示されました。ルール。

[〜#〜]更新[〜#〜]

ファイアウォールが正しく機能しているかどうかを確認するために、WANインターフェイスからSSHをブロックするルールを作成しました。プライマリWANアドレスのポート22を確認したとき、私が港を完全に封鎖したにもかかわらず、それはまだ開いていると言った。

これが私が使用したルールです。

 rule 21 {
     action reject
     destination {
         address 74.219.80.163
         port 22
     }
     protocol tcp
 }

だから今、私は何か間違ったことをしているのか、ファイアウォールが期待どおりに機能していないのかを確信しています。

1
ianc1215

本来の方法で機能します。ファイアウォールルールをゾーンまたはインターフェイスに適用していますか?ゾーンに対してルールを構成している場合は、ゾーンポリシーも作成する必要があります。つまり、WAN-LOCAL、

1
Shavelieva