gnazar
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору megase писал: для почты (http тоже только порт 80) source destination service action mail_ip any 25 accept (для http не надо ) any mail_ip 25 accept затем на ноде mail_ip выбираем detail => NAT выбираем static и указываем ip на кот. будет натиться (на вкладке Adres Translation появится 2 правила). такое построение правила слегка неправильное, потому как не дает ожидаемій результат. Объясню почему. Если задавать статический НАТ в свойствах объекта, то мы можем перехватить лишь трафик, что идет от какого либо определенного объекта, а не поступает на шлюз (сам CheckPoint). Если же нужно отсеивать трафик, что поступил на шлюз, а оттуда уже с ИП адресом внешнего интерфейса шлюза транслируется во внутреннюю сеть, возникают сложности. мы не можем сослаться на этот ИП так как он определен в таблице объектов. ВЫВОД: Делаем вручную статическую трансляцию трафика. Как мы это делаем? Просто... Заходим на страницу "Address Tranlation" и создаем новое правило и забиваем: ORIGINAL PACKET TRANSLATD PACKET source destination service source destination service ANY F-WALL 80 original WEB-SERVER original ANY F-WALL 25 original MAIL-SERVER original Где F-WALL - наш фаервол (CheckPoint) НА странице "Security" создаем два правила для ходящего трафика для WEB-SERVER и MAIL-SERVER и для отсылки почты в интернет: source destination service action ANY WEB-SERVER 80 accept ANY MAIL-SERVER 25 accept MAIL-SERVER Any 25 accept После этого все работает. |