+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Фильтрация порта 25 SMTP?

Фильтрация порта 25 SMTP?, RouterOS

kosztyua

Guest

06.08.2012 15:34:00

Привет, у меня очень раздражающая проблема. Я хотел отфильтровать трафик на порту 25, приходящий от пользователей VPN. Поскольку не получилось составить более сложное правило, я упростил его до очень базового: `/ip firewall filter add action=drop chain=forward disabled=no dst-port=25 protocol=tcp`. Но даже после этого я все равно могу подключиться по telnet к SMTP-серверам на порту 25. Если я меняю порт на 80, то HTTP перестанет работать, или если меняю протокол на ICMP, то ping перестанет работать. Но SMTP - нет. Почему? Что я упускаю? Спасибо, Андрас.

SurferTim Guest	#2 0 06.08.2012 15:54:00 Есть ещё какие-то правила в "/ip firewall filter"? Может, выложить всё сюда, чтобы стало понятнее. И нет ли правил в "/ip firewall nat", которые могут влиять на 25 порт? И нет ли включенного хотспота на интерфейсе?

kosztyua

Guest

06.08.2012 17:38:00

Спасибо за ответ. Других фильтров, которые могли бы повлиять на порт 25 для пересылки, нет. Вот полный экспорт фильтра:
/ip firewall filter add action=drop chain=input comment=blacklist connection-state=new disabled=no src-address-list=blacklist
add action=drop chain=forward comment=blacklist connection-state=new disabled=no src-address-list=blacklist
add action=drop chain=input comment=invalid connection-state=invalid disabled=no
add action=drop chain=forward comment=invalid connection-state=invalid disabled=no
add action=accept chain=input connection-state=related disabled=no
add action=accept chain=input connection-state=established disabled=no
add action=accept chain=input disabled=no dst-address=xxx.xxx.xxx.xxx dst-port=443 protocol=tcp
add action=accept chain=input disabled=no dst-address=xxx.xxx.xxx.xxx dst-port=444 protocol=tcp
add action=accept chain=input disabled=no dst-address=xxx.xxx.xxx.xxx dst-port=443 protocol=tcp
add action=accept chain=input disabled=no dst-address=xxx.xxx.xxx.xxx protocol=gre
add action=accept chain=input disabled=no dst-address=xxx.xxx.xxx.xxx dst-port=1723 protocol=tcp
add action=accept chain=input disabled=no dst-port=8291 protocol=tcp
add action=accept chain=input disabled=no dst-port=80 protocol=tcp src-address=xxx.xxx.xxx.xxx
add action=accept chain=input comment=radius disabled=no dst-address=xxx.xxx.xxx.xxx protocol=udp src-address=xxx.xxx.xxx.xxx
add action=accept chain=input disabled=no protocol=icmp
add action=drop chain=input disabled=no
add action=drop chain=forward disabled=no dst-port=25 protocol=tcp
add action=jump chain=forward comment=“ppp filter (new)” disabled=yes jump-target=ppp
add action=drop chain=pppin disabled=yes dst-address-type=“” dst-port=25 protocol=tcp
add action=drop chain=pppout disabled=yes dst-address-type=“”

NAT правила нужны для того, чтобы публичный IP выдавался подключенным частным VPN-клиентам. У каждого частного клиента свой публичный IP, в таких парах:
/ip firewall nat add action=src-nat chain=srcnat disabled=no src-address=xx.xx.xx.99 to-addresses=yy.yy.yy.99
add action=dst-nat chain=dstnat disabled=no dst-address=yy.yy.yy.99 to-addresses=xx.xx.xx.99

hassibi Guest	#4 0 06.08.2012 17:53:00 Привет, есть ли какой-то трафик, соответствующий твоему правилу фильтра? Где ты проверяешь, можешь ли подключиться к твоему серверу по telnet?

kosztyua Guest	#5 0 06.08.2012 18:44:00 При запуске с портом 80 всё работает (проверял в браузере, открывал google.com), но не работает, когда использую порт 25 (проверял с помощью Putty, Telnet smtp.gmail.com:25).

SurferTim Guest	#6 0 06.08.2012 20:33:00 Только что попробовал это, и это заблокировало отправку электронной почты (но не получение) с моей локальной сети роутера. /ip firewall filter add chain=forward action=drop protocol=tcp dst-port=25 Telnet к порту 25 тоже не работает.

Aug Guest	#7 0 06.08.2012 20:39:00 Попробуй это. /ip firewall filter add chain=forward action=drop protocol=tcp dst-port=25 place-before=0

kosztyua

Guest

06.08.2012 21:04:00

Спасибо, что помогли разобраться с этой ерундой. Установка фильтра на 0 не дает никакого эффекта. При значении 80 HTTP блокируется, а SMTP проходит. Вечером перезагружу (production server..) и, возможно, настрою x86 для тестирования с разными версиями…

hassibi Guest	#9 0 07.08.2012 00:00:00 Проверьте /ip firewall filter Добавить chain=forward action=drop protocol=tcp any-port=25

kosztyua Guest	#10 0 07.08.2012 08:59:00 Не повезло с any-port. Вчера не успел перезагрузиться и установить новую ros, это ещё впереди..

kosztyua

Guest

#11

21.09.2012 14:13:00

Поднимаю снова, потому что не могу заблокировать SMTP, и до сих пор не понимаю, что не так. Любой другой порт, который я пробовал, блокируется нормально, TCP/UDP или даже ICMP можно отфильтровать, но почему-то порт SMTP 25 не получается :S:S:S

Редактирую: я настроил логирование и цепочку отбрасывания, и для всех портов, кроме 25, это работает как надо и отбрасывается.

kosztyua Guest	#12 0 21.09.2012 16:01:00 Ну ладно, буду считать это багом. Сброшу все настройки на этом роутере до заводских и обновлюсь до версии 6.0.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры