Firmware version: 1.33.00
IDS signatures: Last changed at 2005-06-03 16:42:57

Есть сеть, 192.168.2.x Mail - сервер (Win2003 Serv, MDaemon), локалдьный адрес 192.168.2.25, вторая карта - 212.57.x.x - то бишь внешний IP.
Хотел поставить Firewall DFL-700 в разрыв между второй картой (LAN) и модемом ADSL (WAN). прописал WAN все что было написано в настройках TCP/IP внешней карточки сервера. Все вроде бы заработало: браузер, ICQ, почта ходила (отправка, прием)...
Проблема вот в чем - Firewall почему то не пропускал ничего извне - то есть письма перестали приходить, все что приходило на 25-й порт, обрезалось. Почему так? Вот пример лога:
[2005-07-10 20:52:56] <5>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=WAN srcip=82.143.156.26 destip=212.57.x.x ipproto=TCP ipdatalen=28 srcport=3148 destport=25 tcphdrlen=28 syn=1

хотя все вроде в правилах было включено. Пробовал даже в первой сроке правил писать Allow All, все равно не помогало.

Потом пробовал подключать сервер в DMZ (127.0.0.1), LAN - в сетку (192.168.2.x), а WAN - оставил как было.
НИЧЕГО НЕ ИЗМЕНИЛОСЬ, так почта и не приходила.
Потом разрешил в правилах все, но все равно в логах писалось что-то типа
[2005-07-10 20:54:09] <5>EFW: DROP: rule=Default_Access_Rule action=drop recvif=DMZ srcip=192.168.1.2 destip=85.224.70.210 ipproto=TCP ipdatalen=28 srcport=61407 destport=39413 tcphdrlen=28 syn=1

ЧТО Я НЕ ТАК ДЕЛАЮ???? ПОМОГИТЕ, РАСТОЛКУЙТЕ ПОЖАЛУЙСТА.

Я понятно все объяснил или требуются уточнения?

Для того чтобы работала почта настройте виртуальный сервер для 25 порта в Firewall->Port Mapping.

Тогда вам не потребуется вторая сетевая карта. Если все же критично чтобы работал сервер именно со второй сетевой карты, то нужно настроить DMZ без NAT и прописать правила для доступа.

_________________
С уважением -- Александр Шебаронин.

То есть насколько я понял, если я хочу чтобы что-то проходило извне на какой то порт сервера, то нужно всегда делать порт маппинг?
И для FTP сервера тоже?

И еще - если у меня 2 сервера, подключенные к двум выделенным линиям, то нужно ставить 2 DFL-700?

Если у вас используется NAT -- да, нужно делать port mapping. Если нет -- достаточно настройки правил. Если у вас два внешних линка, то нужно либо устанавливать файрволл с двумя WAN-портами, такой как DFL-1500, или два устройства.

_________________
С уважением -- Александр Шебаронин.

1. Вы бы рекомендовали убрать вторую сетевую карту и просто включить одну в DMZ?
2. Почему при использовании двух карт (одна в локальную сеть, другая - в DMZ, LAN - в локальную сеть) нужно непременно отключать NAT и прописывать правила?

Я не могу вам достоверно порекомендовать, так не знаю как и что у вас работает и чего вы пытаетесь добиться. Есть два варианта развития событий -- отключить вторую сетевую карту на сервере и настроить port mapping, таким образом опубликовав сервер в интернет, либо настроить DMZ без NAT и туда уже воткнуть вторую сетевую карту. Возможность реализации и того, и другого варианта очень сильно зависит от настроек вашего провайдера.

_________________
С уважением -- Александр Шебаронин.

Просто у пользователей прописан этот сервер в качестве почтового
192.168.2.25 (это его локальная карточка), вот я и хотел пока не отключать его от локальной сети, а Firewall поставить на вторую карту, которая подключена к сети провайдера.
Может лучше все таки подключить сервер одной картой в DMZ, а Firewall порту LAN дать адрес 192.168.2.25 ?
Тода нужно какое-то правило прописывать, чтобы из LAN видели POP и SMTP сервисы?

Давайте так: вы определитесь чего вы пытаетесь добиться, потом опишете эту задачу здесь, а мы постараемся дать вам совет как это реализовать. Просто я никак разобраться не могу чего вы пытаетесь сделать.

_________________
С уважением -- Александр Шебаронин.

Есть сеть локальная 192.168.2.х
Есть сервер (Mail, FTP, Proxy) (локальный IP 192.168.2.25) - сетевуха 1
Есть внешний static IP у сервера 80.80.80.80, который подключен к провайдеру через ADSL - сетевуха 2.
Задача: нужно поставить Firewall, чтобы не лезла всякая гадость извне и изнутри. Пользователи должны пользоваться почтой (как с 192.168.2.25 так и внешними POP3/SMTP серверами), и HTTP:80.
Требования: У пользователей в Mail-клиентах прописан адрес 192.168.2.25, поэтому хотелось бы не менять его на 150 компьютерах.
Кроме того, у некоторых пользователей прописан шлюз 192.168.2.25, что тоже бы не хотелось менять.

Ваш ответ как настроить Firewall?

Дополнительные вопросы: как пользователи попадают в интернет сейчас? Каким образом организовано подключение к провайдеру?

_________________
С уважением -- Александр Шебаронин.

Через этот сервер. На 192.168.2.25 стоит прокси, некоторые ходят через прокси, те пользователи, у которых прописан шлюз 192.168.2.25, ходят естественно без прокси. К провайдеру как подключен, не совсем понял. Через кабельный модем, который через Ethernet подключен к сетевой карте 2 (ip 80.80.80.80 - вымышленный мной, на самом деле нормальный IP адрес 212.57.x.x, который и прописан на интерфейсе карточки).
маска подсети провайдера 255.255.255.248. Шлюз тоже прописан какойто 212.57.x.x.

всё прям как у меня. рут с 2 сетевухами на нём м даемон и прокси(учет трафика). локалка внутренний ип 192,168,1,0(на него настроенны майл клиенты юзеров) внешний 192,168,3,0 . на лан интерфейсе дфл700 включён нат. 110 и 25 порты опубликованны .
в дмз стоит веб сервер . на дфл 700 включен нат. порт 80 опубликован.
всё работает. да и ещё вопрос - зачем тебе на компе белый ип? удобней спрятать за натом.
итог к ван интерфейсу подключен адсл модем. к лан локалка, в дмз вебсервер.