Здравствуйте!

Столкнулся с проблемой: на наш почтовый сервер не приходит почта с конкретного ip, со всех остальных идёт, а с этого нет и всё. Перерыл весь firewall ни где в чёрных списках не стоит. При попытке пинга этого ip выдаёт

<132>[2015-09-22 16:44:54] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=lan srcip=192.168.10.84 destip=80.92.36.63 ipproto=ICMP ipdatalen=40 icmptype=ECHO_REQUEST echoid=512 echoseq=59648

<132>[2015-09-22 16:44:59] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=lan srcip=192.168.10.84 destip=80.92.36.63 ipproto=ICMP ipdatalen=40 icmptype=ECHO_REQUEST echoid=512 echoseq=59904

<132>[2015-09-22 16:45:05] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=lan srcip=192.168.10.84 destip=80.92.36.63 ipproto=ICMP ipdatalen=40 icmptype=ECHO_REQUEST echoid=512 echoseq=60160

<132>[2015-09-22 16:45:10] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=lan srcip=192.168.10.84 destip=80.92.36.63 ipproto=ICMP ipdatalen=40 icmptype=ECHO_REQUEST echoid=512 echoseq=60416

Причём этот 1 адрес не хочет работать с правилом
wan1 all-nets all_services

Буду очень признателен за любую помощь или подсказку. Спасибо!

Скриншоты правил показывайте

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Вообще описание проблемы не ясно совершенно.

Думаю проблема у конкретного IP или провайдеров по пути от него.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо за оперативный ответ!

Скриншоты выложу завтра.

Попробую еще раз описать проблему:

Имеется dfl800, после него комутатор и в комутатор подключен почтовый сервер мдаемон. Почта уходит и приходит отлично, но не приходят письма с одного ip адреса от фирмы Б. Админ фирмы Б проверяет нашу доступность телнетом по 25 порту и говорит что ответа нет. Когда я пингую ip фирмы Б, пинги не проходят и логи выдают соответственно то что я написал в 1 посту.

А что говорит трассировка? Что гласит мх запись? Трассировку у админа б спрашивали? При запросе телнетом админа Б, что в соединениях? Что в дампе? Если снять дфл . Пинг пойдет дойдет?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Посмотрите и сравните трассировку с их стороны до вас и с вашей стороны до них.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Небольшая поправка почтовый сервер на DMZ вот правила:


Так же мой компьютер находится в группе LAN_OPEN_INTERNET и с него у меня не проходят пинги на IP фирмы Б.
<132>[2015-09-22 16:44:54] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=lan srcip=192.168.10.84 destip=80.92.36.63 ipproto=ICMP ipdatalen=40 icmptype=ECHO_REQUEST echoid=512 echoseq=59648

Syndicate,
1. Почитайте внимательно подпись Юрия на предмет all-nets
2. А почему неполная связка правил по пингу ? ping-mail

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Подскажите пожалуйста чем грозит использование any/all-nets и на что лучше заменить?

Про пинг вы имеете ввиду что не хватает правила разрешающего пинг из локальной сети в интернет?

Про пинг я имею ввиду, что если есть правило SAT, то за ним сразу должно следовать Allow или NAT.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

С их стороны трассировка застревает на сети подключения нашего провайдера т.е. следующий узел наш dfl800, с других мест (например фирма С) трассировка проходит. Если дфл снят пинг идёт. От нас трассировка на IP фирмы Б не проходит так же как и пинг, хотя если я всё правильно понимаю соответствующее правило разрешающее пинг есть (2 изображение выше).

MX mail.нашдомен.com. 10
TXT "v=spf1 mx ip:наш айпи -all"

По остальным вопросам уточню.

Дело в том, что данный firewall достался так сказать по наследству, раньше с ним работал другой специалист, но он уволился и теперь я пытаюсь разобраться с данным агрегатом.

Связка правил на пинг неполная, поэтому внешний пинг и застревает на wan1

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Я создавал временное правило разрешающее всем трассировку и попросил админа Б трассировать нас.

ЛОГИ выдали:

<132>[2015-09-22 15:46:49] FW: IP_FLAG: prio=3 id=01600001 rev=1 event=ttl_low action=ignore

ttl=1 ttlmin=3 rule=TTLOnLow recvif=wan1 srcip= IP ФИРМЫ Б destip= Наш IP ipproto=ICMP

ipdatalen=72 icmptype=ECHO_REQUEST echoid=26 echoseq=22654

<132>[2015-09-22 15:46:53] FW: IP_FLAG: prio=3 id=01600001 rev=1 event=ttl_low action=ignore

ttl=2 ttlmin=3 rule=TTLOnLow recvif=wan1 srcip= IP ФИРМЫ Б destip= Наш IP ipproto=ICMP

ipdatalen=72 icmptype=ECHO_REQUEST echoid=26 echoseq=22655

<132>[2015-09-22 15:46:57] FW: IP_FLAG: prio=3 id=01600001 rev=1 event=ttl_low action=ignore

ttl=2 ttlmin=3 rule=TTLOnLow recvif=wan1 srcip= IP ФИРМЫ Б destip= Наш IP ipproto=ICMP

ipdatalen=72 icmptype=ECHO_REQUEST echoid=26 echoseq=22656

<132>[2015-09-22 15:47:01] FW: IP_FLAG: prio=3 id=01600001 rev=1 event=ttl_low action=ignore

ttl=2 ttlmin=3 rule=TTLOnLow recvif=wan1 srcip= IP ФИРМЫ Б destip= Наш IP ipproto=ICMP

ipdatalen=72 icmptype=ECHO_REQUEST echoid=26 echoseq=22657

<134>[2015-09-22 15:47:21] FW: CONN: prio=1 id=00600005 rev=1 event=conn_close_natsat

action=close rule=Trassirovka_ALL conn=close connipproto=ICMP connrecvif=wan1 connsrcip= IP

ФИРМЫ Б connsrcid=26 conndestif=core conndestip= Наш IP conndestid=26 connnewsrcip=127.0.0.1

connnewsrcid=1801 connnewdestip= Наш IP connnewdestid=1801 origsent=828 termsent=828

При этом Админ Б говорит что у него трассировка не прошла до конца. (Застряла перед DFL)

Если Вам не трудно могли бы Вы подсказать как правильно составить связку правил для пинга и трассировки
ping_fw Allow any all-nets core all-nets all_icmp ?