Ich richte einen Vyatta-Router auf VMware ESXi ein.
Aber anscheinend bin ich auf ein großes Problem gestoßen: Ich konnte meine Firewall und mein NAT nicht richtig zum Laufen bringen.
Ich bin nicht sicher, was mit NAT nicht stimmte, aber es „scheint“ jetzt zu funktionieren. Aber die Firewall lässt keinen Datenverkehr von meiner WAN-Schnittstelle (eth0) zu meinem LAN (eth1) zu. Ich kann bestätigen, dass es an der Firewall liegt, da ich alle Firewall-Regeln deaktiviert habe und alles nur mit NAT funktioniert hat. Wenn ich die Firewalls (WAN und LAN) wieder einsetze, kann nichts mehr zu Port 25 durchkommen.
Ich bin nicht wirklich sicher, wo das Problem liegen könnte. Ich verwende ziemlich einfache Firewall-Regeln und habe die Regeln geschrieben, während ich mir die Vyatta-Dokumente angesehen habe. Sofern mit der Dokumentation also nichts Ungewöhnliches stimmt, „sollten“ sie funktionieren.
Hier sind meine bisherigen NAT-Regeln;
vyatta@gateway# show service nat
rule 20 {
description "Zimbra SNAT #1"
outbound-interface eth0
outside-address {
address 74.XXX.XXX.XXX
}
source {
address 10.0.0.17
}
type source
}
rule 21 {
description "Zimbra SMTP #1"
destination {
address 74.XXX.XXX.XXX
port 25
}
inbound-interface eth0
inside-address {
address 10.0.0.17
}
protocol tcp
type destination
}
rule 100 {
description "Default LAN -> WAN"
outbound-interface eth0
outside-address {
address 74.XXX.XXX.XXX
}
source {
address 10.0.0.0/24
}
type source
}
Hier sind meine Firewall-Regeln. Ich glaube, hier liegt das Problem.
vyatta@gateway# show firewall
all-ping enable
broadcast-ping disable
conntrack-expect-table-size 4096
conntrack-hash-size 4096
conntrack-table-size 32768
conntrack-tcp-loose enable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name LAN_in {
rule 100 {
action accept
description "Default LAN -> any"
protocol all
source {
address 10.0.0.0/24
}
}
}
name LAN_out {
}
name LOCAL {
rule 100 {
action accept
state {
established enable
}
}
}
name WAN_in {
rule 20 {
action accept
description "Allow SMTP connections to MX01"
destination {
address 74.XXX.XXX.XXX
port 25
}
protocol tcp
}
rule 100 {
action accept
description "Allow established connections back through"
state {
established enable
}
}
}
name WAN_out {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
RANDNOTIZ
Um zu testen, ob die Ports, die ich für die Nutzung dieser Website verwende, offen sind,http://www.yougetsignal.com/tools/open-ports/wurde Port 25 ohne Firewall-Regeln als offen und mit Firewall-Regeln als geschlossen angezeigt.
AKTUALISIEREN
Nur um zu sehen, ob die Firewall richtig funktioniert, habe ich eine Regel erstellt, um SSH von der WAN-Schnittstelle zu blockieren. Als ich nach Port 22 meiner primären WAN-Adresse suchte, hieß es, dieser sei immer noch offen, obwohl ich den Port komplett blockiert hatte.
Hier ist die Regel, die ich verwendet habe;
rule 21 {
action reject
destination {
address 74.219.80.163
port 22
}
protocol tcp
}
Jetzt bin ich davon überzeugt, dass ich entweder etwas falsch mache oder die Firewall nicht so funktioniert, wie sie sollte.
Antwort1
Es funktioniert wie es soll. Wenden Sie Ihre Firewall-Regeln auf Zonen oder Schnittstellen an? Wenn Sie Ihre Regeln für Zonen konfigurieren, müssen Sie auch Zonenrichtlinien erstellen. z. B. WAN-LOCAL,