Вроде с написанием ACL никогда проблем не было, но тут реально мозг сломал ...Суть в чём : за роутером стоит MAIL сервер. Работает наружу он только по SMTP=25 порт (как сказали). Просят прикрыть весь стек остальных протоколов. Но проблема в том что надо применять access-list не на том интерфейсе куда включена сервачина (Fa0/1), а на общем входном из WANa (Fa0/0). Ну в принципе на первый взгялд это не сложно, написал обычный access-list :
access-list 100 .............................................
access-list 100 permit tcp any host AAA.BBB.CCC.DDD eq smtp
access-list 100 deny ip any host AAA.BBB.CCC.DDD
access-list 100 .............................................Но не тут бо было, перестала почта отправляться. начал рыть, оказалось что DNS у неё через эту же соскеу пашет ... ну открыл DNS
access-list 100 .............................................
access-list 100 permit tcp any host AAA.BBB.CCC.DDD eq smtp
access-list 100 permit tcp any host AAA.BBB.CCC.DDD eq 53
access-list 100 deny ip any host AAA.BBB.CCC.DDD
access-list 100 .............................................и опять нифига ... не отправляется. Зашёл на сервер (ограниченные права)
выпонил netstat ... дык там оказалось куча портов активных
, ничего общего ни с 25-м ни с 53 не имеющим... провёл эксперимент -
access-list 100 .............................................
access-list 100 permit tcp any host AAA.BBB.CCC.DDD gt 100
access-list 100 .............................................разрешил все порты ниже 100 ... фиг два короче ....
Подскажите в каком направлении рыть ... никогда с защитой серверов не сталкивался так чтобы ...
>[оверквотинг удален]
>, ничего общего ни с 25-м ни с 53 не имеющим... провёл
>эксперимент -
>access-list 100 .............................................
>access-list 100 permit tcp any host AAA.BBB.CCC.DDD gt 100
>access-list 100 .............................................
>
>разрешил все порты ниже 100 ... фиг два короче ....
>
>Подскажите в каком направлении рыть ... никогда с защитой серверов не сталкивался
>так чтобы ...Если не ошибаюсь, DNS еще по UDP работает. Попробуйте и его открыть.
И на fa0/0 на in надеюсь вешаете?
>[оверквотинг удален]
>>access-list 100 .............................................
>>
>>разрешил все порты ниже 100 ... фиг два короче ....
>>
>>Подскажите в каком направлении рыть ... никогда с защитой серверов не сталкивался
>>так чтобы ...
>
>Если не ошибаюсь, DNS еще по UDP работает. Попробуйте и его открыть.
>
>И на fa0/0 на in надеюсь вешаете?запросы от DNS клиентов идут по UDP, по TCP только рекурсия между серверами.
>
>Если не ошибаюсь, DNS еще по UDP работает. Попробуйте и его открыть.--- не помогло :((((
>
>И на fa0/0 на in надеюсь вешаете?--- естественно :)
>
>>
>>Если не ошибаюсь, DNS еще по UDP работает. Попробуйте и его открыть.
>
>--- не помогло :((((
>
>>
>>И на fa0/0 на in надеюсь вешаете?
>
>--- естественно :)зачем Вам открывать dns - если речь идет об входящем smtp
достаточно permit tcp any any eq smtpа если на вашем чудо-сервере работет столько сервисов, сколько горошен в мешке то лучше наверное строить политику както иначе...
>
>зачем Вам открывать dns - если речь идет об входящем smtp
>достаточно permit tcp any any eq smtp
>
>а если на вашем чудо-сервере работет столько сервисов, сколько горошен в мешке
>то лучше наверное строить политику както иначе...---согласен но проблема в том, что человек который настраивал сервер утверждает, что сервак должен ходить в WAN только по протоколу SMTP ... а на самом деле рублю все пртоколы окромя SMTP, всё, сразу почта перестаёт ходить ... по логам выяснил что не отправляется потому как Kerio (на серваке стоит) не может установить соединение с удалённым хостом. порылся, обратил внимание что на сетевом ин-се (сервера)смотрящим в реальную сеть (у сервака две сетевых (одна наружу, другая внутрь) висят 4 DNSa... открыл нифига... такое очучение что SMTP поднимает что-то на портах выше 1023 (но это явно бред какой-то) .... понять не могу в чём прикол...
>[оверквотинг удален]
>---согласен но проблема в том, что человек который настраивал сервер утверждает,
>что сервак должен ходить в WAN только по протоколу SMTP ...
>а на самом деле рублю все пртоколы окромя SMTP, всё, сразу
>почта перестаёт ходить ... по логам выяснил что не отправляется потому
>как Kerio (на серваке стоит) не может установить соединение с удалённым
>хостом. порылся, обратил внимание что на сетевом ин-се (сервера)смотрящим в реальную
>сеть (у сервака две сетевых (одна наружу, другая внутрь) висят 4
>DNSa... открыл нифига... такое очучение что SMTP поднимает что-то на портах
>выше 1023 (но это явно бред какой-то) .... понять не могу
>в чём прикол...я думаю администратор сервер должен знать это...
smtp еще можно использовать ident rfc #1413
[URL=http://2ip.ru/spambot][IMG]http://2ip.ru/spam...
Для того чтобы почта работала
permit tcp any host AAA.BBB.CCC.DDD eq smtp
этого правила достаточно,
однако если у вас там же еще и днс-сервер то помимоpermit tcp any host AAA.BBB.CCC.DDD eq 53
permit udp any host AAA.BBB.CCC.DDD eq 53надо еще добавить правило:
permit udp any eq 53 host AAA.BBB.CCC.DDD gt 1023
это правило разрешает обращаться к внешним днс-серверам, например днс-провайдера
>[оверквотинг удален]
>permit tcp any host AAA.BBB.CCC.DDD eq smtp
>этого правила достаточно,
>однако если у вас там же еще и днс-сервер то помимо
>
>permit tcp any host AAA.BBB.CCC.DDD eq 53
>permit udp any host AAA.BBB.CCC.DDD eq 53
>
>надо еще добавить правило:
>permit udp any eq 53 host AAA.BBB.CCC.DDD gt 1023
>это правило разрешает обращаться к внешним днс-серверам, например днс-провайдераблагодарю ! Всё пошло !