為什麼 vyatta 不允許 SMTP 通過我的防火牆?

tag-icon tag-icon networking firewall nat vyatta
為什麼 vyatta 不允許 SMTP 通過我的防火牆?

我正在 VMware ESXi 上設定 vyatta 路由器,

但我發現遇到了一個重大障礙,我無法讓防火牆和 NAT 正常運作。

我不確定 NAT 出了什麼問題,但它「似乎」現在正在工作。但防火牆不允許從我的 WAN 介面 (eth0) 到 LAN (eth1) 的流量。我可以確認它是防火牆,因為我停用了所有防火牆規則,並且所有內容都僅適用於 NAT。如果將防火牆(WAN 和 LAN)放回原位,則任何內容都無法通過連接埠 25。

我不太確定問題可能是什麼,我正在使用非常基本的防火牆規則,我在查看 vyatta 文件時編寫了規則,所以除非它們「應該」工作的文件有奇怪的地方。

這是到目前為止我的 NAT 規則;

vyatta@gateway# show service nat
 rule 20 {
     description "Zimbra SNAT #1"
     outbound-interface eth0
     outside-address {
         address 74.XXX.XXX.XXX
     }
     source {
         address 10.0.0.17
     }
     type source
 }
 rule 21 {
     description "Zimbra SMTP #1"
     destination {
         address 74.XXX.XXX.XXX
         port 25
     }
     inbound-interface eth0
     inside-address {
         address 10.0.0.17
     }
     protocol tcp
     type destination
 }
 rule 100 {
     description "Default LAN -> WAN"
     outbound-interface eth0
     outside-address {
         address 74.XXX.XXX.XXX
     }
     source {
         address 10.0.0.0/24
     }
     type source
 }

然後這是我的防火牆規則,這就是我認為問題所在的地方。

vyatta@gateway# show firewall
 all-ping enable
 broadcast-ping disable
 conntrack-expect-table-size 4096
 conntrack-hash-size 4096
 conntrack-table-size 32768
 conntrack-tcp-loose enable
 ipv6-receive-redirects disable
 ipv6-src-route disable
 ip-src-route disable
 log-martians enable
 name LAN_in {
     rule 100 {
         action accept
         description "Default LAN -> any"
         protocol all
         source {
             address 10.0.0.0/24
         }
     }
 }
 name LAN_out {
 }
 name LOCAL {
     rule 100 {
         action accept
         state {
             established enable
         }
     }
 }
 name WAN_in {
     rule 20 {
         action accept
         description "Allow SMTP connections to MX01"
         destination {
             address 74.XXX.XXX.XXX
             port 25
         }
         protocol tcp
     }
     rule 100 {
         action accept
         description "Allow established connections back through"
         state {
             established enable
         }
     }
 }
 name WAN_out {
 }
 receive-redirects disable
 send-redirects enable
 source-validation disable
 syn-cookies enable

邊註

為了測試我使用這個網站的開放端口,http://www.yougetsignal.com/tools/open-ports/,它顯示連接埠 25 在沒有防火牆規則的情況下打開,在有防火牆規則的情況下關閉。

更新

為了查看防火牆是否正常運作,我制定了一條規則來阻止來自 WAN 介面的 SSH。當我檢查主 WAN 位址上的連接埠 22 時,它說它仍然打開,即使我完全阻止了該連接埠。

這是我使用的規則;

 rule 21 {
     action reject
     destination {
         address 74.219.80.163
         port 22
     }
     protocol tcp
 }

所以現在我確信要么我做錯了什麼,要么防火牆沒有正常工作。

答案1

它按應有的方式工作。您是否將防火牆規則套用至區域或介面?如果您要針對區域配置規則,則也必須制定區域策略。即 WAN 本地,

相關內容