https://www.opennet.me/openforum/vsluhforumID6/18649.html Вроде с написанием ACL никогда проблем не было, но тут реально мозг сломал ... <br><br>Суть в чём : за роутером стоит MAIL сервер. Работает наружу он только по SMTP=25 порт (как сказали). Просят прикрыть весь стек остальных протоколов. Но проблема в том что надо применять access-list не на том интерфейсе куда включена сервачина (Fa0/1), а на общем входном из WANa (Fa0/0). Ну в принципе на первый взгялд это не сложно, написал обычный access-list :<br><br>access-list 100 .............................................<br>access-list 100 permit tcp any host AAA.BBB.CCC.DDD eq smtp<br>access-list 100 deny ip any host AAA.BBB.CCC.DDD<br>access-list 100 .............................................<br><br>Но не тут бо было, перестала почта отправляться. начал рыть, оказалось что DNS у неё через эту же соскеу пашет ... ну открыл DNS <br><br><br>access-list 100 .............................................<br>access-list 100 permit tcp any host AAA.BBB.CCC.DDD eq smtp<br>access-list 100 permit tcp any host AAA.BBB.CCC.DDD eq 53<br>acces https://www.opennet.me/openforum/vsluhforumID6/18649.html#9 Wed, 22 Apr 2009 09:02:04 GMT &gt;[оверквотинг удален]<br>&gt;permit tcp any host AAA.BBB.CCC.DDD eq smtp <br>&gt;этого правила достаточно, <br>&gt;однако если у вас там же еще и днс-сервер то помимо <br>&gt;<br>&gt;permit tcp any host AAA.BBB.CCC.DDD eq 53 <br>&gt;permit udp any host AAA.BBB.CCC.DDD eq 53 <br>&gt;<br>&gt;надо еще добавить правило: <br>&gt;permit udp any eq 53 host AAA.BBB.CCC.DDD gt 1023 <br>&gt;это правило разрешает обращаться к внешним днс-серверам, например днс-провайдера <br><br>благодарю ! Всё пошло !<br> https://www.opennet.me/openforum/vsluhforumID6/18649.html#8 Sun, 12 Apr 2009 21:50:54 GMT Для того чтобы почта работала <br>permit tcp any host AAA.BBB.CCC.DDD eq smtp<br>этого правила достаточно, <br>однако если у вас там же еще и днс-сервер то помимо <br><br>permit tcp any host AAA.BBB.CCC.DDD eq 53<br>permit udp any host AAA.BBB.CCC.DDD eq 53<br><br>надо еще добавить правило:<br>permit udp any eq 53 host AAA.BBB.CCC.DDD gt 1023<br>это правило разрешает обращаться к внешним днс-серверам, например днс-провайдера <br> https://www.opennet.me/openforum/vsluhforumID6/18649.html#7 Sun, 12 Apr 2009 17:54:05 GMT [URL=http://2ip.ru/spambot][IMG]http://2ip.ru/spambot/spam_protect.php?md5=TW1sd2MzQmhiWEJ5YjNSbFkzUmljblZ1WkdGemIzWkFaMjFoYVd3dVkyOXQ=&style[face]=Arial&style[size]=10&style[color]=000000&style[bgcolor]=FFFFFF[/IMG][/URL]<br><br><br> https://www.opennet.me/openforum/vsluhforumID6/18649.html#6 Sun, 12 Apr 2009 10:46:22 GMT &gt;[оверквотинг удален]<br>&gt;---согласен но проблема в том, что человек который настраивал сервер утверждает, <br>&gt;что сервак должен ходить в WAN только по протоколу SMTP ... <br>&gt;а на самом деле рублю все пртоколы окромя SMTP, всё, сразу <br>&gt;почта перестаёт ходить ... по логам выяснил что не отправляется потому <br>&gt;как Kerio (на серваке стоит) не может установить соединение с удалённым <br>&gt;хостом. порылся, обратил внимание что на сетевом ин-се (сервера)смотрящим в реальную <br>&gt;сеть (у сервака две сетевых (одна наружу, другая внутрь) висят 4 <br>&gt;DNSa... открыл нифига... такое очучение что SMTP поднимает что-то на портах <br>&gt;выше 1023 (но это явно бред какой-то) .... понять не могу <br>&gt;в чём прикол... <br><br>я думаю администратор сервер должен знать это...<br>smtp еще можно использовать ident rfc #1413<br> https://www.opennet.me/openforum/vsluhforumID6/18649.html#5 Sun, 12 Apr 2009 09:37:08 GMT <br>&gt;<br>&gt;зачем Вам открывать dns - если речь идет об входящем smtp <br>&gt;достаточно permit tcp any any eq smtp <br>&gt;<br>&gt;а если на вашем чудо-сервере работет столько сервисов, сколько горошен в мешке <br>&gt;то лучше наверное строить политику както иначе... <br><br>---согласен но проблема в том, что человек который настраивал сервер утверждает, что сервак должен ходить в WAN только по протоколу SMTP ... а на самом деле рублю все пртоколы окромя SMTP, всё, сразу почта перестаёт ходить ... по логам выяснил что не отправляется потому как Kerio (на серваке стоит) не может установить соединение с удалённым хостом. порылся, обратил внимание что на сетевом ин-се (сервера)смотрящим в реальную сеть (у сервака две сетевых (одна наружу, другая внутрь) висят 4 DNSa... открыл нифига... такое очучение что SMTP поднимает что-то на портах выше 1023 (но это явно бред какой-то) .... понять не могу в чём прикол...<br><br><br><br> https://www.opennet.me/openforum/vsluhforumID6/18649.html#4 Sun, 12 Apr 2009 07:47:46 GMT &gt;<br>&gt;&gt;<br>&gt;&gt;Если не ошибаюсь, DNS еще по UDP работает. Попробуйте и его открыть. <br>&gt;<br>&gt;--- не помогло :(((( <br>&gt;<br>&gt;&gt;<br>&gt;&gt;И на fa0/0 на in надеюсь вешаете? <br>&gt;<br>&gt;--- естественно :) <br><br>зачем Вам открывать dns - если речь идет об входящем smtp<br>достаточно permit tcp any any eq smtp<br><br>а если на вашем чудо-сервере работет столько сервисов, сколько горошен в мешке то лучше наверное строить политику както иначе...<br> https://www.opennet.me/openforum/vsluhforumID6/18649.html#3 Sat, 11 Apr 2009 18:23:33 GMT <br>&gt;<br>&gt;Если не ошибаюсь, DNS еще по UDP работает. Попробуйте и его открыть. <br><br>--- не помогло :(((( <br><br>&gt;<br>&gt;И на fa0/0 на in надеюсь вешаете? <br><br>--- естественно :)<br><br><br><br> https://www.opennet.me/openforum/vsluhforumID6/18649.html#2 Sat, 11 Apr 2009 13:15:32 GMT &gt;[оверквотинг удален]<br>&gt;&gt;access-list 100 ............................................. <br>&gt;&gt;<br>&gt;&gt;разрешил все порты ниже 100 ... фиг два короче .... <br>&gt;&gt;<br>&gt;&gt;Подскажите в каком направлении рыть ... никогда с защитой серверов не сталкивался <br>&gt;&gt;так чтобы ... <br>&gt;<br>&gt;Если не ошибаюсь, DNS еще по UDP работает. Попробуйте и его открыть. <br>&gt;<br>&gt;И на fa0/0 на in надеюсь вешаете? <br><br>запросы от DNS клиентов идут по UDP, по TCP только рекурсия между серверами.<br> https://www.opennet.me/openforum/vsluhforumID6/18649.html#1 Sat, 11 Apr 2009 12:40:29 GMT &gt;[оверквотинг удален]<br>&gt;, ничего общего ни с 25-м ни с 53 не имеющим... провёл <br>&gt;эксперимент - <br>&gt;access-list 100 ............................................. <br>&gt;access-list 100 permit tcp any host AAA.BBB.CCC.DDD gt 100 <br>&gt;access-list 100 ............................................. <br>&gt;<br>&gt;разрешил все порты ниже 100 ... фиг два короче .... <br>&gt;<br>&gt;Подскажите в каком направлении рыть ... никогда с защитой серверов не сталкивался <br>&gt;так чтобы ... <br><br>Если не ошибаюсь, DNS еще по UDP работает. Попробуйте и его открыть.<br>И на fa0/0 на in надеюсь вешаете?<br>