Подскажите, в чем я не прав. Все сделал, как на cisco.com советуют. Пользователи в Интернет ходят, почта с внутреннего Exchange сервера на mail.ru доходит. Если отправлять с mail.ru обратно, то ничего не приходит.Вот конфиг:
192.168.1.0 - LAN
192.168.1.5 - Exchange Server 2000 (внешний - x.x.x.170)PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol icmp error
fixup protocol ils 389
fixup protocol pptp 1723
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
no fixup protocol smtp 25
fixup protocol snmp 161
fixup protocol sqlnet 1521
fixup protocol tftp 69
no names
access-list compiled
access-list 100 permit ip any any
access-list 100 permit tcp any any
access-list 100 permit udp any any
access-list 100 permit icmp any any
access-list 100 permit tcp any host x.x.x.170 eq smtp
pager lines 24
logging trap informational
logging facility 23
logging host inside 192.168.1.25 6/1470
icmp permit any inside
mtu outside 1500
mtu inside 1500
ip address outside x.x.x.167 255.255.255.248
ip address inside 192.168.1.254 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.10.25 255.255.255.255 inside
pdm location 192.168.10.5 255.255.255.255 inside
pdm location x.x.x.170 255.255.255.255 outside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
global (inside) 2 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) x.x.x.170 192.168.1.5 netmask 255.255.255.255 0 0
access-group 100 in interface outside
routing interface outside
routing interface inside
rip outside default version 1
rip inside default version 1
route outside 0.0.0.0 0.0.0.0 x.x.x.165 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:10:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:10:00
timeout uauth 0:10:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
tftp-server inside 192.168.1.25 config
no floodguard enable
sysopt connection tcpmss 0
isakmp enable outside
isakmp enable inside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash sha
isakmp policy 10 group 1
isakmp policy 10 lifetime 86400
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 60
ssh 192.168.1.0 255.255.255.0 inside
ssh timeout 60
management-access inside
console timeout 0
vpdn username tns-pptp1 password *********
vpdn enable outside
vpdn enable inside
terminal width 80
: end
Lucshe zdelat nat (inside) 1 192.168.1.0 255.255.255.0
fixup protocol smtp 25
i ubirat iz konfiga global (inside) 2 interface
Спасибо. Поправил. Но почта все равно не приходит :(
>
>Спасибо. Поправил. Но почта все равно не приходит :(Poprobuy tak:
static (inside,outside) tcp interface 25 192.168.1.5 25 netmask 255.255.255.255 0 0
static (inside,outside) udp interface 53 DNS IP ADDRESS netmask 255.255.255.255 0 0access-list 100 permit udp any host DNS IP ADDRESS eq 53
access-group 100 in interface outsidepatom esho raz prover no fixup protocol smtp 25
>Poprobuy tak:
>
>static (inside,outside) tcp interface 25 192.168.1.5 25 netmask 255.255.255.255 0 0
>static (inside,outside) udp interface 53 DNS IP ADDRESS netmask 255.255.255.255 0 0
>
>access-list 100 permit udp any host DNS IP ADDRESS eq 53
>access-group 100 in interface outside
>
>patom esho raz prover no fixup protocol smtp 25Т.е. вместо
static (inside,outside) х.х.х.170 192.168.1.5 netmask 255.255.255.255 0 0
прописать
static (inside,outside) tcp х.х.х.170 smtp 192.168.1.5 smtp netmask 255.255.255.255 0 0
DNS IP ADDRESS - имеется ввиду внутренний DNS, а зачем?
У меня есть
access-list 100 permit udp any any, для чего
access-list 100 permit udp any host DNS IP ADDRESS eq 53... все прописал, fixup protocol smtp 25 без no, почта не приходит :((
S access listami vse ponyatno .Esli ubrat PIX vse rabotaet ? Naceus DNS -om probemi netu tam.
Ya ne rabotal pixom. Mojet utebya software , buggy software .
Ya v lyubom slucae rekomenduyu tebe ustanovit ili obnavit bolee novoyu veriyu software . Esli ne pamojit. To steray konfig i zanogo ... igray PIx firevalom.
Mojit i povezet :))
Pix i exchange ne fsegda drujyat
>S access listami vse ponyatno .
>
>Esli ubrat PIX vse rabotaet ? Naceus DNS -om probemi netu
>tam.
>
>Ya ne rabotal pixom. Mojet utebya software , buggy software .
>
>Ya v lyubom slucae rekomenduyu tebe ustanovit ili
>obnavit bolee novoyu veriyu software . Esli ne
>pamojit. To steray konfig i zanogo ... igray PIx firevalom.
>
>Mojit i povezet :))
>
>Pix i exchange ne fsegda drujyat
Без PIX все работает. Конфиг чищу - он был в 2 раза больше :))
Попробуйте откуда-либо снаружи соединиться на 25-й порт:
telnet x.x.x.170 251) Если неудачно, то получите сообщение, что коннект невозможен.
2) Если удачно, то напишут что-либо наподобие
220 x.x.x.170 Microsoft ESMTP ....Во втором случае - можно воспользоваться советами от майкрософт
http://support.microsoft.com/kb/320027/ruВ первом случае - на pix, возможно, неправильные настройки,
и еще раз следует внимательно изучить конфиг.
Можно попробовать командой на pix-е debug packet outside dst x.x.x.170 отследить, а приходят ли вообще пакеты на адрес почтового сервера?
>Попробуйте откуда-либо снаружи соединиться на 25-й порт:
>telnet x.x.x.170 25
>
>1) Если неудачно, то получите сообщение, что коннект невозможен.
>
>2) Если удачно, то напишут что-либо наподобие
>220 x.x.x.170 Microsoft ESMTP ....
>
>Во втором случае - можно воспользоваться советами от майкрософт
>http://support.microsoft.com/kb/320027/ru
>
>В первом случае - на pix, возможно, неправильные настройки,
>и еще раз следует внимательно изучить конфиг.
>Можно попробовать командой на pix-е debug packet outside dst x.x.x.170 отследить, а
>приходят ли вообще пакеты на адрес почтового сервера?Когда обращаюсь по telnet, то вроде подключаюсь и не вижу ничего, по любой клавише – выбрасывает.
На http://support.microsoft.com/kb/320027/ru тоже смотрел, все, как там советуют делал.
debug packet outside dst x.x.x.170 – попробую, спасибо за подсказку.
>Можно попробовать командой на pix-е debug packet outside dst x.x.x.170 отследить, а
>приходят ли вообще пакеты на адрес почтового сервера?На это пишет
--------- PACKET ---------
-- IP --
195.y.y.y ==> x.x.x.170ver = 0x4 hlen = 0x5 tos = 0x0 tlen = 0x28
id = 0xa7aa flags = 0x40 frag off=0x0
ttl = 0x77 proto=0x6 chksum = 0x614f-- TCP --
source port = 0xe1a9 dest port = 0x19ackseq = 0x4c668773
ack = 0x25a2757
hlen = 0x5 window = 0xfc00
checksum = 0xd9af urg = 0x0
-- DATA --
00000020: 00 00 00 00 00 00 2e | .......--------- END OF PACKET ---------
--------- PACKET ---------
-- IP --
195.y.y.y ==> x.x.x.170ver = 0x4 hlen = 0x5 tos = 0x0 tlen = 0x28
id = 0xa7ab flags = 0x40 frag off=0x0
ttl = 0x77 proto=0x6 chksum = 0x614e-- TCP --
source port = 0xe1a9 dest port = 0x19ack finseq = 0x4c668773
ack = 0x25a2757
hlen = 0x5 window = 0xfc00
checksum = 0xd9ae urg = 0x0
-- DATA --
00000020: 00 00 00 00 00 00 ec | .......--------- END OF PACKET ---------
Он это пишет даже если почтовый сервер выключен...
>>Можно попробовать командой на pix-е debug packet outside dst x.x.x.170 отследить, а
>>приходят ли вообще пакеты на адрес почтового сервера?
>
>На это пишет
>
>--------- PACKET ---------
>
>-- IP --
>195.y.y.y ==> x.x.x.170
>
> ver = 0x4
> hlen = 0x5
> tos = 0x0
>tlen = 0x28
> id = 0xa7aa
> flags = 0x40 frag off=0x0
>
> ttl = 0x77
> proto=0x6
>chksum = 0x614f
>
> -- TCP --
>
> source port = 0xe1a9
>dest port = 0x19ack
>
>
> seq = 0x4c668773
>
> ack = 0x25a2757
>
> hlen = 0x5
> window =
>0xfc00
>
> checksum = 0xd9af
> urg = 0x0
> -- DATA --
>
> 00000020:
>
> 00 00 00 00
>00 00 2e |
> .......
>
>--------- END OF PACKET ---------
>
>--------- PACKET ---------
>
>-- IP --
>195.y.y.y ==> x.x.x.170
>
> ver = 0x4
> hlen = 0x5
> tos = 0x0
>tlen = 0x28
> id = 0xa7ab
> flags = 0x40 frag off=0x0
>
> ttl = 0x77
> proto=0x6
>chksum = 0x614e
>
> -- TCP --
>
> source port = 0xe1a9
>dest port = 0x19ack fin
>
>
> seq = 0x4c668773
>
> ack = 0x25a2757
>
> hlen = 0x5
> window =
>0xfc00
>
> checksum = 0xd9ae
> urg = 0x0
> -- DATA --
>
> 00000020:
>
> 00 00 00 00
>00 00 ec |
> .......
>
>--------- END OF PACKET ---------
>
>
>Он это пишет даже если почтовый сервер выключен...А ты что кажет команда show xlate?
И еще про твои ACL - твоя строчка в отношении smtp ничего не решает, т.к. двумя строчками выше ты разрешил любые TCP соединения. PIX просматривает ACL построчно при первом совпадении просмотр ACL прекращается.
Может у кого будет время и желание заработать заедет ко мне и настроит это железо. Я нахожусь в СПб, начальство сказало, что 100$ за эту работу даст…
Правильный подход ;)
Можно заодно и 6.3(5) прожечь.Как с вами связаться?
>Правильный подход ;)
>Можно заодно и 6.3(5) прожечь.
>
>Как с вами связаться?
Напишите мне, адрес необходимо подправить.
>Может у кого будет время и желание заработать заедет ко мне и
>настроит это железо. Я нахожусь в СПб, начальство сказало, что 100$
>за эту работу даст…И как, разрешилась проблема?
у меня такая же ситуация, не получается получить почту на exchange.