Сергей aka m0p3e писал(а):В свое время тоже помучился.
Сделай фильтры stateful.
Т.е.
Исходящие SMTP
Sour Int : Private
Dest Int : Public
Packet Type : smtp-st
Sour IP : 192.168.1.250
Dest IP : Any
Входящие SMTP
Sour Int : Public
Dest Int : Private
Packet Type : smtp-st
Sour IP : Any
Dest IP : 192.168.1.250
Я бы по крайней мере рекомендовал последнее (Входящие SMTP
) сделать на 2 static filters :
Incoming SMTP:
from Public to Private
Packet: my-smtp-req from 1024-65535 TCP Port to 25 TCP stateful=OFF, ASK BIT FLT=OFF
source: Any Address
destination: internal ip of smtp server
Reply to Incoming SMTP:
from Private to Public
Packet: my-smtp-res from TCP 25 to 1024-65535 TCP stateful=OFF, ASK BIT=ON
source: internal smtp
dest: any adress.
с первым (Исходящие SMTP) не все так легко без stateful - надо как минимум ASK BIT=ON для ответных пакетов.
У меня пока был NW6SP2+BM37SP1 + потфиксы все было расчудесно и со stateful (со времен BM35/NW411
.
После BM37SP2/NW6SP3 и вплоть до NW6SP4/BM37SP3 Stateful поломали. Причем поломали не так что совсем не работает - просто за полдня работы IPFLT31.NLM выделяет больше 1MB памяти и перестает пропускть ответы на пакеты которые описаны stateful filters. Я честно говоря уже весь в тщетности того что ошибку признают и пофиксят все exceptions переписал на static и думал навсегда - но нет - по секретным агентурным данным обещают пофиксить:
---- cut here -----
Novell has identified the problem. A new module will be released between
2-3 weeks
---- cut here -----
Резюмируя хочу сказать что stateful это хорошо но я рекомендовал бы stateful для исходящего трафика тут оно надо ;o)
а для описания exception для входящего на 1 порт 1 адрес и исходящего с него более кошерно заюзать 2 static.