Está funcionando como deveria. Você está aplicando suas regras de firewall a zonas ou interfaces? Se você estiver configurando suas regras em relação às regiões, terá que criar políticas de zona também. ou seja, WAN-LOCAL,
Estou configurando um roteador vyatta no VMware ESXi,
Mas vejo que acertou um obstáculo importante, não consegui fazer com que meu firewall e NAT funcionassem corretamente.
Não tenho certeza do que estava errado com o NAT, mas "parece" estar funcionando agora. Mas o firewall não está permitindo o tráfego da minha interface WAN (eth0) para minha LAN (eth1). Eu posso confirmar o seu firewall porque eu desativei todas as regras de firewall e tudo funcionou com apenas NAT. Se colocar os firewalls (WAN e LAN) de volta no lugar, nada poderá passar para a porta 25.
Eu não sei ao certo qual poderia ser o problema. Estou usando regras básicas de firewall. Escrevi as regras enquanto observava os documentos do vyatta, a menos que houvesse algo estranho com a documentação que eles "deveriam" estar funcionando.
Aqui estão as minhas regras de NAT até agora;
vyatta@gateway# show service nat
rule 20 {
description "Zimbra SNAT #1"
outbound-interface eth0
outside-address {
address 74.XXX.XXX.XXX
}
source {
address 10.0.0.17
}
type source
}
rule 21 {
description "Zimbra SMTP #1"
destination {
address 74.XXX.XXX.XXX
port 25
}
inbound-interface eth0
inside-address {
address 10.0.0.17
}
protocol tcp
type destination
}
rule 100 {
description "Default LAN -> WAN"
outbound-interface eth0
outside-address {
address 74.XXX.XXX.XXX
}
source {
address 10.0.0.0/24
}
type source
}
Então aqui estão as minhas regras de firewall, é aqui que acredito que o problema é.
vyatta@gateway# show firewall
all-ping enable
broadcast-ping disable
conntrack-expect-table-size 4096
conntrack-hash-size 4096
conntrack-table-size 32768
conntrack-tcp-loose enable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name LAN_in {
rule 100 {
action accept
description "Default LAN -> any"
protocol all
source {
address 10.0.0.0/24
}
}
}
name LAN_out {
}
name LOCAL {
rule 100 {
action accept
state {
established enable
}
}
}
name WAN_in {
rule 20 {
action accept
description "Allow SMTP connections to MX01"
destination {
address 74.XXX.XXX.XXX
port 25
}
protocol tcp
}
rule 100 {
action accept
description "Allow established connections back through"
state {
established enable
}
}
}
name WAN_out {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
SIDENOTE
Para testar as portas abertas que usei neste site, link , mostrei a porta 25 como aberta sem as regras de firewall e fechadas com as regras de firewall.
UPDATE
Só para ver se o firewall estava funcionando corretamente, criei uma regra para bloquear o SSH na interface da WAN. Quando eu verifiquei a porta 22 no meu endereço primário da WAN, ele disse que ainda estava aberto, embora eu tenha bloqueado a porta.
Aqui está a regra que usei;
rule 21 {
action reject
destination {
address 74.219.80.163
port 22
}
protocol tcp
}
Então, agora estou convencido de que estou fazendo algo errado ou que o firewall não está funcionando como deveria.
Está funcionando como deveria. Você está aplicando suas regras de firewall a zonas ou interfaces? Se você estiver configurando suas regras em relação às regiões, terá que criar políticas de zona também. ou seja, WAN-LOCAL,
Tags networking firewall nat vyatta