Estoy configurando un enrutador vyatta en VMware ESXi,
Pero veo que tuve un problema importante: no pude hacer que mi firewall y NAT funcionaran correctamente.
No estoy seguro de qué estaba mal con NAT, pero "parece" estar funcionando ahora. Pero el firewall no permite el tráfico desde mi interfaz WAN (eth0) a mi LAN (eth1). Puedo confirmar que es el firewall porque desactivé todas las reglas del firewall y todo funcionó solo con NAT. Si vuelve a colocar los firewalls (WAN y LAN), nada podrá pasar al puerto 25.
No estoy realmente seguro de cuál podría ser el problema. Estoy usando reglas de firewall bastante básicas. Escribí las reglas mientras miraba los documentos de Vyatta, así que, a menos que haya algo extraño con la documentación, "deberían" estar funcionando.
Aquí están mis reglas NAT hasta ahora;
vyatta@gateway# show service nat
rule 20 {
description "Zimbra SNAT #1"
outbound-interface eth0
outside-address {
address 74.XXX.XXX.XXX
}
source {
address 10.0.0.17
}
type source
}
rule 21 {
description "Zimbra SMTP #1"
destination {
address 74.XXX.XXX.XXX
port 25
}
inbound-interface eth0
inside-address {
address 10.0.0.17
}
protocol tcp
type destination
}
rule 100 {
description "Default LAN -> WAN"
outbound-interface eth0
outside-address {
address 74.XXX.XXX.XXX
}
source {
address 10.0.0.0/24
}
type source
}
Entonces aquí están mis reglas de firewall, aquí es donde creo que está el problema.
vyatta@gateway# show firewall
all-ping enable
broadcast-ping disable
conntrack-expect-table-size 4096
conntrack-hash-size 4096
conntrack-table-size 32768
conntrack-tcp-loose enable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name LAN_in {
rule 100 {
action accept
description "Default LAN -> any"
protocol all
source {
address 10.0.0.0/24
}
}
}
name LAN_out {
}
name LOCAL {
rule 100 {
action accept
state {
established enable
}
}
}
name WAN_in {
rule 20 {
action accept
description "Allow SMTP connections to MX01"
destination {
address 74.XXX.XXX.XXX
port 25
}
protocol tcp
}
rule 100 {
action accept
description "Allow established connections back through"
state {
established enable
}
}
}
name WAN_out {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
NOTA AL MARGEN
Para probar los puertos abiertos que tengo usando este sitio web,http://www.yougetsignal.com/tools/open-ports/, mostró el puerto 25 como abierto sin las reglas del firewall y cerrado con las reglas del firewall.
ACTUALIZAR
Sólo para ver si el firewall funcionaba correctamente, establecí una regla para bloquear SSH desde la interfaz WAN. Cuando verifiqué el puerto 22 en mi dirección WAN principal, dijo que todavía estaba abierto a pesar de que bloqueé el puerto por completo.
Aquí está la regla que utilicé;
rule 21 {
action reject
destination {
address 74.219.80.163
port 22
}
protocol tcp
}
Ahora estoy convencido de que estoy haciendo algo mal o que el firewall no funciona como debería.
Respuesta1
Está funcionando como debería. ¿Está aplicando sus reglas de firewall a zonas o interfaces? Si está configurando sus reglas contra zonas, también debe crear políticas de zona. es decir, WAN-LOCAL,