Всем доброго дня.
есть сетевой экран DFL-260/e
Заблокировал доступ некоторым ПК правилом Drop All_Services
А другими правилами разрешаю им порты 25, 993, 465, 143. Т.е. портым IMAP и SMTP
НО МОЗИЛА так и не принемает и не отправляет почту.
В чем загвоздка так и не разберусь?
Прошу вашей помощи?!

Чудно!

- Главное, чтобы разрешающие правила были выше запрещающих и
- обеспечить ограниченным клиентам доступ к DNS - внутренним, внешним или через релей - на ваш выбор.
- А еще можно им разрешить ICMP куда попало.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

а мозила то не браузер часом !?
и как он может отправлять и получать почту !?
у меня есть ракета , почему она не плавает под водой !? не разберусь

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Mozilla Thunderbird - почтовый клиент )

_________________
Ответы на все вопросы здесь: http://www.dlink.ru/ru/contacts/

Надеюсь, разрешающее правило выше блокирующего?
Если посмотреть Status > Connections для разрешенного хоста, какие порты видите?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Сорри, конечно Mozzilla Thunderbird!!!

Да. разрешающее правило выше блокирующего.
В статусе/Соединения в отношении этого хоста никаких соединений нет.

показывайте скринами правила .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

1) выполнено
3) разрешил ICMP
2) поясните по этому поводу пожалуйста подробнее. как это сделать? и что это даст?

вот мои все правила.

эти правила лан ту ван.

Это основное, что необходимо, т.к. работа в инете идет в основном по DNS именам, а не по адресам.

Вообще-то, при таких вопросах, вам лучше почитать основы TCP/IP.
Хотя бы википедию о DNS

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

О DNS я знаю.
Вопрос был - как прописать отдельно получение хостом ДНСа? ДНС серверы и так прописаны в настройках хостов(клиентов), в частности того, кому нужно открыть почту и закрыто все остальное.

Так же, как вы разрешаете им другие протоколы по отдельности.

Вот и обеспечьте этим клиентам доступность тех DNS серверов, которые у них прописаны. Я же не знаю, какие DNS у них прописаны. Поскольку есть 3 разных способа, о которых я уже писал.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

в правилах 3 и 4 замените сервис с Allow на NAT

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

выше остальных создаете папку IP Rules\Ping
В ней правило
Allow lan lannet core fw_addr ping_inbound
fw_addr - группа адресов lan_ip, wan_ip, dmz_ip

В сервисе all-services включаете галку обработки ошибок
создаете группу адресов Lubiteli_Pochty c адресами клиентов с ограниченным доступом
создаете группу сервисов, Lubiteli_Pochty_svc, включающую dns_all и сервисы для портов 25, 993, 465, 143

создаете папку IP Rules\Lubiteli_Pochty (выше lan_to_wan)
в ней только правила:
NAT lan Lubiteli_Pochty wan all-nets Lubiteli_Pochty_svc
Drop lan Lubiteli_Pochty wan all-nets all-services

в папке IP Rules\lan_to_wan
оставляете только
NAT lan lannet wan all-nets ftp_passthrought
NAT lan lannet wan all-nets all-services

Все прочие правила удалить

Всего в IP-Rules будет три указанных одиноких папочки

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.