服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 为什么不能通过我的防火墙vyatta允许SMTP?
Intereting Posts
网站高可用性没有负载平衡器? Server 2003 SBS看似随意的崩溃 在Linux中跟踪“连接重置”错误 在centos 6.3上安装xdebug for php 5.3.17(final) 语法错误附近意外的标记`<' 附加非MDF SQL-Server 2000数据库 ping机器名称命中链接本地IPv6而不是公共DNS IPv6 build议强调可靠性的开源文件系统 克隆Win7机器的最佳方法是什么? 性能方面,是一个DNS奴隶比两个重复的主人更好? 重新启动Hudson – Windows安装 OCFS2 / GFS2 dlm_join_lockspace没有篱笆域 Cognos 8.3和Oracle11g 用Lighttpd返回HTTP 204 强制MS Remoteapp将文件保存到客户端系统

为什么不能通过我的防火墙vyatta允许SMTP?

我正在VMware ESXi上build立一个vyatta路由器,

但是我发现遇到了一个重大障碍,我无法让防火墙NAT正常工作。

我不确定NAT有什么问题,但现在“似乎”正在工作。 但防火墙不允许从我的WAN接口(eth0)到我的LAN(eth1)的stream量。 我可以确认它的防火墙,因为我禁用了所有的防火墙规则,一切只与NAT一起工作。 如果把防火墙(WAN和LAN)放回原处,任何东西都不能通过端口25。

我不太确定问题是什么,我正在使用非常基本的防火墙规则,我在看vyatta文档时写了规则,所以除非文档有些奇怪,他们“应该”正在工作。

这是我的NAT规则, 

vyatta@gateway# show service nat rule 20 { description "Zimbra SNAT #1" outbound-interface eth0 outside-address { address 74.XXX.XXX.XXX } source { address 10.0.0.17 } type source } rule 21 { description "Zimbra SMTP #1" destination { address 74.XXX.XXX.XXX port 25 } inbound-interface eth0 inside-address { address 10.0.0.17 } protocol tcp type destination } rule 100 { description "Default LAN -> WAN" outbound-interface eth0 outside-address { address 74.XXX.XXX.XXX } source { address 10.0.0.0/24 } type source }

那么这里是我的防火墙规则,这是我相信问题的地方。 

 vyatta@gateway# show firewall all-ping enable broadcast-ping disable conntrack-expect-table-size 4096 conntrack-hash-size 4096 conntrack-table-size 32768 conntrack-tcp-loose enable ipv6-receive-redirects disable ipv6-src-route disable ip-src-route disable log-martians enable name LAN_in { rule 100 { action accept description "Default LAN -> any" protocol all source { address 10.0.0.0/24 } } } name LAN_out { } name LOCAL { rule 100 { action accept state { established enable } } } name WAN_in { rule 20 { action accept description "Allow SMTP connections to MX01" destination { address 74.XXX.XXX.XXX port 25 } protocol tcp } rule 100 { action accept description "Allow established connections back through" state { established enable } } } name WAN_out { } receive-redirects disable send-redirects enable source-validation disable syn-cookies enable

边注

为了testing打开的端口,我使用了这个网站, http://www.yougetsignal.com/tools/open-ports/ ,它显示端口25没有防火墙规则,并且用防火墙规则closures。

UPDATE

只是为了看看防火墙是否正常工作,我做了一个规则来阻止来自WAN接口的SSH。 当我检查我的主要WAN地址端口22时,它表示它仍然是开放的,即使我直接阻止端口。

这是我使用的规则。 

  rule 21 { action reject destination { address 74.219.80.163 port 22 } protocol tcp }

所以,现在我确信我是做错了什么,或者防火墙不是应该如此。

它的工作方式应该如此。 你是否将防火墙规则应用于区域或接口? 如果您正在针对区域configuration规则,则还需要制定区域策略。 即WAN-LOCAL,