[РЕШЕНО] блокировка 25 порта

[cubespace]

Здравствуйте !

Есть сервер

FreeBSD 8.2-RC2
он же выступает в роли шлюза для нета, и раздает пользователям в сети! + почтовый сервер ( postfix+courier-imap) + PostfixAdmin
его IP:
192.168.1.1
XX.XX.XX.94 - белый ІР

Пользователи входят в нет с XX.XX.XX.94 и на нем же работает почтовый сервер Postfix

Как в PF заблокировать доступ на 25 для локальной сети, и сделать белей список кому можно использовать 25 порт?

Я вот сделал так :
igb0 - внешний интерфейс
igb1 - локальный интерфейс

Вот строчки блокировки:
ext_if="igb0"
int_if="igb1"

Код: [Выделить]

table <mail> { 192.168.1.101, 192.168.1.103, 192.168.1.3, ХХ.ХХ.ХХ.189 )
#block port 25
block log on $int_if inet proto tcp from !<mail> to any port 25

Код: [Выделить]

# cat /etc/pf.conf | grep -v ^# | grep -v ^$
ext_ip="XX.XX.XX.94"
ext_ip2="XX.XX.XX.188"
ext_ip_dg1="WW.WW.WW.38"
ext_ip_dg2="10.67.2.34"
ext_gw="XX.XX.XX.93"
ext_gw_dg1="WW.WW.WW.37"
ext_gw_dg2="10.67.2.33"
ext_if="igb0"
ext_if2="fxp1"
ua9_if="vlan0"
ua9_ip="CC.CC.CC.50"
ua9_gw="CC.CC.CC.49"
int_if="igb1"
internal_net="192.168.1.2/22"
table <modems> { 192.168.0.50, 192.168.2.50 }
table <badhosts> persist
table <mail> { 192.168.1.101, 192.168.1.3, XX.XX.XX.189 }
table <realnet> persist { XX.XX.XX.76/28, RR.RR.RR.RR/30 }
table <limited> persist file "/etc/limited.conf"
set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
set limit { states 100000, frags 100000 }
set loginterface none
set optimization aggressive
set block-policy drop
set require-order yes
set fingerprints "/etc/pf.os"
scrub in all
altq on igb1 bandwidth 300Mb cbq qlimit 1000 queue {std, admin, limited}
queue std bandwidth 45% cbq(default borrow red)
queue admin bandwidth 5% cbq(borrow red)
queue limited bandwidth 50% cbq(red)
nat on $ext_if from $internal_net to any -> ($ext_if:0)
nat on $ext_if2 from $internal_net to any -> {$ext_if2:0}
nat on $ua9_if from $internal_net to any -> {$ua9_if:0}
nat on $ua9_if from <realnet> to any -> {$ua9_if:0}
rdr on $ext_if proto tcp from any to $ext_ip port 27015 -> 192.168.1.101 port 27015
rdr on $ext_if proto udp from any to $ext_ip port 27015 -> 192.168.1.101 port 27015
rdr on $ext_if proto tcp from any to $ext_ip port 27025 -> 192.168.1.101 port 27025
rdr on $ext_if proto udp from any to $ext_ip port 27025 -> 192.168.1.101 port 27025
rdr on $ext_if proto tcp from any to $ext_ip port 27035 -> 192.168.1.101 port 27035
rdr on $ext_if proto udp from any to $ext_ip port 27035 -> 192.168.1.101 port 27035
 
pass out all
pass in all
pass in on $int_if from any to !192.168.1.1 keep state (max-src-conn 2000) queue std
pass in on $int_if from <limited> to !192.168.1.1 flags S/SA  keep state (max-src-conn 600) queue limited
pass in on $int_if from 192.168.1.3 to <modems> queue admin
block log on $int_if inet proto tcp from !<mail> to any port 25
block log on $ext_if from <badhosts> to any 

ХХ.ХХ.ХХ.189 - белый айпи клиента!
почему у него блокируеться входящий порт 25 ? и как его разрешить ?

когда я снимаю это правило то тогда работает , у клиента есть доступ на 25 порт из вне, а так не работает ( как исправить ?

[myst]

cubespace лениво все правила читать...
на вскидку вариант: добавь в правило блокировки 25го порта на локальном интерфейсе слово quick.
block log quick бла бла.
Вариант 2: делаете два правила на локальном интерфейсе
1) разрешает соединения с привелигерованных IP (таблица main) со словом quick
2) блокируете ВСЕ входящие соединения из локалки на серый IP сервера из локальки.

int_if="igb1"
int_net="192.168.1.0/24"
int_ip="192.168.1.1"
table mail { 192.168.1.101, 192.168.1.3 }
pass quick on $int_if proto tcp from <mail> to $int_ip port 25
deny on $int_if proto tcp from $int_net to $int_ip port 25

правило quick в данном случае означает прекратить искать совпадения по списку правил и сматчить пакет по этому правилу.

ХХ.ХХ.ХХ.189 - белый айпи клиента!
почему у него блокируеться входящий порт 25 ? и как его разрешить ?

Да потому что у вас в правилах чушь

В таблице mail указан белый IP клиента, а матчить вы его пытаетесь на локальном интерфейсе.

[cubespace]

Первый вариант не пошел

на втором вот такая ошибка:

Код: [Выделить]

Enabling pf/etc/pf.conf:164: syntax error
pfctl: Syntax error in config file: pf rules not loaded
pf enabled

164 - правило которое добавил

[myst]

Первый вариант не пошел

на втором вот такая ошибка:

Код: [Выделить]

Enabling pf/etc/pf.conf:164: syntax error
pfctl: Syntax error in config file: pf rules not loaded
pf enabled

164 - правило которое добавил

164е это какое именно из двух?

в table mail { 192.168.1.101, 192.168.1.3 }
<> добавьте

[cubespace]

164 - строчка блокировки!
без нее, правило запустилось!
а когда добавил

Код: [Выделить]

deny on $int_if proto tcp from $int_net to $int_ip port 25

то сразу ошибка

и вот еще:

Код: [Выделить]

inet# ifconfig
igb0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=1bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4>
        ether 00:8b:13:4a:5e:b3
        inet XX.XX.XX.94 netmask 0xfffffffc broadcast XX.XX.XX.95
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
igb1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=1bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4>
        ether 00:8b:13:4a:5e:b4
        inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
        inet 192.168.2.1 netmask 0xffffff00 broadcast 192.168.2.255
        inet 192.168.3.1 netmask 0xffffff00 broadcast 192.168.3.255
        inet XX.XX.XX.77 netmask 0xfffffff0 broadcast  XX.XX.XX.191
        inet 192.168.100.100 netmask 0xffffff00 broadcast 192.168.100.255
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
re0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether 00:1c:c0:01:3b:66
        media: Ethernet autoselect (10baseT/UTP <half-duplex>)
        status: no carrier
em0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC>
        ether 00:1b:21:50:0b:af
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
fxp0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2009<RXCSUM,VLAN_MTU,WOL_MAGIC>
        ether 00:d0:b7:29:1e:8b
        media: Ethernet autoselect (none)
        status: no carrier
fxp1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2009<RXCSUM,VLAN_MTU,WOL_MAGIC>
        ether 00:02:b3:d7:00:c7
        inet WW.WW.WW.38 netmask 0xfffffffc broadcast WW.WW.WW.39
        media: Ethernet autoselect (none)
        status: no carrier
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x8
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
pfsync0: flags=0<> metric 0 mtu 1460
        syncpeer: 224.0.0.240 maxupd: 128
pflog0: flags=0<> metric 0 mtu 33200
vlan0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=3<RXCSUM,TXCSUM>
        ether 00:1b:21:50:0b:af
        inet PP.PP.PP.150 netmask 0xfffffffc broadcast PP.PP.PP.151
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 78 parent interface: em0

[myst]

Блин не deny  а block

Извиняюсь, стопицот лет с софтовыми фаерволами не работал, перепутал синтаксис циски и pf 

[cubespace]

не работает такая схема!

на ХХ.ХХ.ХХ.189 - порт открылся

но 192.168.1.103 которого нет в списке table <mail> { 192.168.1.101, 192.168.1.103, 192.168.1.3, ХХ.ХХ.ХХ.189 ), тоже может использовать 25 порт!

а для него должен быть закрыт доступ !

[myst]

не работает такая схема!

на ХХ.ХХ.ХХ.189 - порт открылся

но 192.168.1.103 которого нет в списке table <mail> { 192.168.1.101, 192.168.1.103, 192.168.1.3, ХХ.ХХ.ХХ.189 ), тоже может использовать 25 порт!

а для него должен быть закрыт доступ !

тогда в правило block тоже добавьте слово quick у вас значит дальше по списку правил где-то оно разрешено.

[cubespace]

Тоже самое!

И я тут извиняюсь, в предедущем неправильно в казал :
192.168.1.103
нет в списке:

Код: [Выделить]

table <mail> { 192.168.1.101, 192.168.1.3, ХХ.ХХ.ХХ.189 )

но выход на 25 порт из 192.168.1.103, открыт (

[myst]

Тоже самое!

И я тут извиняюсь, в предедущем неправильно в казал :
192.168.1.103
нет в списке:

Код: [Выделить]

table <mail> { 192.168.1.101, 192.168.1.3, ХХ.ХХ.ХХ.189 )

но выход на 25 порт из 192.168.1.103, открыт (

Покажите все правила фаервола. Прийду домой - подумаю.
А вообще правила со словом quick модно добавлять в самое начало списка.

[cubespace]

в роли фаервола тут PF используеться
стандартный фаервол используется для нарезки скорости пользователям

конфиг PF, скинул в первом сообщении )

или что то другое надо, то скину

[myst]

в роли фаервола тут PF используеться
стандартный фаервол используется для нарезки скорости пользователям

конфиг PF, скинул в первом сообщении )

или что то другое надо, то скину

Ещё желательно бы увидеть счетчики по правила pf.

А по поводу всех правил я спросил потому как 

Enabling pf/etc/pf.conf:164: syntax error

А в первом посте, в конфиге явно не 164 строки.

[cubespace]

 

Код: [Выделить]

pfctl -vsr
scrub in all fragment reassemble
  [ Evaluations: 41835371  Packets: 22486750  Bytes: 6302751010  States: 0     ]
  [ Inserted: uid 0 pid 25676 ]
pass out all flags S/SA keep state
  [ Evaluations: 1352492   Packets: 12090468  Bytes: 10267804117  States: 10873 ]
  [ Inserted: uid 0 pid 25676 ]
pass in all flags S/SA keep state
  [ Evaluations: 1352492   Packets: 627824    Bytes: 244851477   States: 3912  ]
  [ Inserted: uid 0 pid 25676 ]
pass in on igb1 inet from any to ! 192.168.1.1 flags S/SA keep state (source-track rule, max-src-conn 2000) queue std
  [ Evaluations: 726663    Packets: 8904244   Bytes: 9117237257  States: 6019  ]
  [ Inserted: uid 0 pid 25676 ]
pass in on igb1 inet from <limited> to ! 192.168.1.1 flags S/SA keep state (source-track rule, max-src-conn 600) queue limited
  [ Evaluations: 412023    Packets: 3399245   Bytes: 2701672481  States: 2925  ]
  [ Inserted: uid 0 pid 25676 ]
pass in on igb1 inet from 192.168.1.3 to <modems> flags S/SA keep state queue admin
  [ Evaluations: 430732    Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 25676 ]
block drop log quick on igb1 inet proto tcp from ! <mail> to any port = smtp
  [ Evaluations: 1056561   Packets: 66        Bytes: 3508        States: 0     ]
  [ Inserted: uid 0 pid 25676 ]
block drop log on igb0 from <badhosts> to any
  [ Evaluations: 1352426   Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 25676 ]

Код: [Выделить]

# pfctl -vsn
nat on igb0 inet from 192.168.0.0/22 to any -> (igb0:0)
  [ Evaluations: 530534    Packets: 9293179   Bytes: 7966003139  States: 5872  ]
  [ Inserted: uid 0 pid 25676 ]
nat on fxp1 inet from 192.168.0.0/22 to any -> WW.WW.WW.38
  [ Evaluations: 130000    Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 25676 ]
nat on vlan0 inet from 192.168.0.0/22 to any -> PP.PP.PP.150
  [ Evaluations: 130000    Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 25676 ]
nat on vlan0 inet from <realnet> to any -> PP.PP.PP.150
  [ Evaluations: 179605    Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 25676 ]
rdr on igb0 inet proto tcp from any to XX.XX.XX.94 port = 19247 -> 192.168.1.3 port 19247
  [ Evaluations: 614426    Packets: 14        Bytes: 804         States: 0     ]
  [ Inserted: uid 0 pid 25676 ]
rdr on igb0 inet proto udp from any to XX.XX.XX.94 port = 19247 -> 192.168.1.3 port 19247
  [ Evaluations: 94583     Packets: 5         Bytes: 327         States: 0     ]
  [ Inserted: uid 0 pid 25676 ]
rdr on igb0 inet proto tcp from any to XX.XX.XX.94 port = 19248 -> 192.168.1.50 port 19248
  [ Evaluations: 141090    Packets: 6         Bytes: 304         States: 0     ]
  [ Inserted: uid 0 pid 25676 ]
rdr on igb0 inet proto udp from any to XX.XX.XX.94 port = 19248 -> 192.168.1.50 port 19248
  [ Evaluations: 86351     Packets: 4         Bytes: 374         States: 0     ]
  [ Inserted: uid 0 pid 25676 ]
rdr on igb0 inet proto tcp from any to XX.XX.XX.94 port = 19249 -> 192.168.1.55 port 19249
  [ Evaluations: 141083    Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 25676 ]
rdr on igb0 inet proto udp from any to XX.XX.XX.94 port = 19249 -> 192.168.1.55 port 19249
  [ Evaluations: 86347     Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 25676 ]
rdr on igb0 inet proto tcp from any to XX.XX.XX.94 port = 19250 -> 192.168.1.156 port 19250
  [ Evaluations: 141083    Packets: 35757     Bytes: 9317112     States: 43    ]
  [ Inserted: uid 0 pid 25676 ]
rdr on igb0 inet proto udp from any to XX.XX.XX.94 port = 19250 -> 192.168.1.156 port 19250
  [ Evaluations: 86347     Packets: 148906    Bytes: 136227145   States: 198   ]
  [ Inserted: uid 0 pid 25676 ]
rdr on igb0 inet proto tcp from any to XX.XX.XX.94 port = 19251 -> 192.168.1.238 port 19251
  [ Evaluations: 131990    Packets: 21        Bytes: 1080        States: 1     ]
  [ Inserted: uid 0 pid 25676 ]
rdr on igb0 inet proto udp from any to XX.XX.XX.94 port = 19251 -> 192.168.1.238 port 19251
  [ Evaluations: 79337     Packets: 33        Bytes: 2393        States: 2     ]
  [ Inserted: uid 0 pid 25676 ]
rdr on igb0 inet proto tcp from any to XX.XX.XX.94 port = 19252 -> 192.168.1.9 port 19252
  [ Evaluations: 131959    Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 25676 ]
rdr on igb0 inet proto udp from any to XX.XX.XX.94 port = 19252 -> 192.168.1.9 port 19252
  [ Evaluations: 79314     Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 25676 ]
rdr on igb0 inet proto tcp from any to XX.XX.XX.94 port = 19253 -> 192.168.1.238 port 19253
  [ Evaluations: 131959    Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 25676 ]
rdr on igb0 inet proto udp from any to XX.XX.XX.94 port = 19253 -> 192.168.1.238 port 19253
  [ Evaluations: 79314     Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 25676 ]
rdr on igb0 inet proto tcp from any to XX.XX.XX.94 port = 19254 -> 192.168.1.193 port 19254
  [ Evaluations: 131959    Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 25676 ]
rdr on igb0 inet proto udp from any to XX.XX.XX.94 port = 19254 -> 192.168.1.193 port 19254
  [ Evaluations: 79314     Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 25676 ]
rdr on igb0 inet proto tcp from any to XX.XX.XX.94 port = 27015 -> 192.168.1.101 port 27015
  [ Evaluations: 52502     Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 25676 ]
rdr on igb0 inet proto udp from any to XX.XX.XX.94 port = 27015 -> 192.168.1.101 port 27015
  [ Evaluations: 77846     Packets: 1         Bytes: 53          States: 0     ]
  [ Inserted: uid 0 pid 25676 ]
rdr on igb0 inet proto tcp from any to XX.XX.XX.94 port = 27025 -> 192.168.1.101 port 27025
  [ Evaluations: 130347    Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 25676 ]
rdr on igb0 inet proto udp from any to XX.XX.XX.94 port = 27025 -> 192.168.1.101 port 27025
  [ Evaluations: 77845     Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 25676 ]
rdr on igb0 inet proto tcp from any to XX.XX.XX.94 port = 27035 -> 192.168.1.101 port 27035
  [ Evaluations: 130347    Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 25676 ]
rdr on igb0 inet proto udp from any to XX.XX.XX.94 port = 27035 -> 192.168.1.101 port 27035
  [ Evaluations: 77845     Packets: 202       Bytes: 58045       States: 1     ]
  [ Inserted: uid 0 pid 25676 ]

[cubespace]

Да, просто там много пробросов на торент, игры, то я просто чтобы не кидать здоровый конф
то некоторые просто убрал

Например:

Код: [Выделить]

rdr on $ext_if proto udp from any to $ext_ip port 19247 -> 192.168.1.3 port 19247
rdr on $ext_if proto tcp from any to $ext_ip port 19248 -> 192.168.1.50 port 19248
rdr on $ext_if proto udp from any to $ext_ip port 19248 -> 192.168.1.50 port 19248
rdr on $ext_if proto tcp from any to $ext_ip port 19249 -> 192.168.1.55 port 19249
rdr on $ext_if proto udp from any to $ext_ip port 19249 -> 192.168.1.55 port 19249
rdr on $ext_if proto tcp from any to $ext_ip port 19250 -> 192.168.1.156 port 19250
rdr on $ext_if proto udp from any to $ext_ip port 19250 -> 192.168.1.156 port 19250
rdr on $ext_if proto tcp from any to $ext_ip port 19251 -> 192.168.1.238 port 19251
rdr on $ext_if proto udp from any to $ext_ip port 19251 -> 192.168.1.238 port 19251
rdr on $ext_if proto tcp from any to $ext_ip port 19252 -> 192.168.1.9 port 19252
rdr on $ext_if proto udp from any to $ext_ip port 19252 -> 192.168.1.9 port 19252
rdr on $ext_if proto tcp from any to $ext_ip port 19253 -> 192.168.1.238 port 19253
rdr on $ext_if proto udp from any to $ext_ip port 19253 -> 192.168.1.238 port 19253
rdr on $ext_if proto tcp from any to $ext_ip port 19254 -> 192.168.1.193 port 19254
rdr on $ext_if proto udp from any to $ext_ip port 19254 -> 192.168.1.193 port 19254

[myst]

cubespace не, желательно счетчики при включенных моих правилах.