URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 7314
[ Назад ]

Исходное сообщение
"Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :("
Отправлено Peter , 19-Фев-05 11:22

Уважаемые Гуру помогите разрешить вот такую задачку:
как было раньше: есть Cisco 2600 на внешнем интерфейсе 3-и айпишника, соотвественно один гейт, один мейл и один используется для исходящих соединений народа ходящего в и-нет, внутри сети за Циской стоял мейл сервер на который пробрасывался весь трафик приходящий на мейл айпишник т.е. ip nat inside source static 192.168.4.4 217.21.229.122 c соотв. настроенными ACL
access-list 100 permit tcp any host 217.21.229.122 established
access-list 100 permit tcp any host 217.21.229.122 eq domain
access-list 100 permit udp any host 217.21.229.122 eq domain
access-list 100 permit udp any eq domain host 217.21.229.122 gt 1024
access-list 100 permit tcp any host 217.21.229.122 eq smtp
access-list 100 deny   ip any host 217.21.229.122 log
access-list 100 permit ip any any
Все работало естественно без прооблем.
Потом купили Cisco pix firewall и поставили за циской 26-ой, соответственно перенесли майл сервер в DMZ Пикса, все настроил кроме входящих соединений на майл сервер уже все голову сломал :(
Сделал так: на Циске 2600 написал: -- ip nat inside source static 192.168.40.2 (outside pix) 217.21.229.122
на пиксе System IP Addresses:
        ip address outside 192.168.40.2 255.255.255.0
        ip address inside 192.168.50.1 255.255.255.0
        ip address dmz 192.168.4.1 255.255.255.0
соотвественно прописал static (dmz,outside) tcp 192.168.40.2 25 192.168.4.4 25
соотв прописал ACL на эти соединения
access-list dmz_access_in permit tcp host mserv eq smtp any
access-list dmz_access_in permit tcp host mserv any eq smtp
- не работает, сервер не виден снаружи :(
Что делаю не так есть какие нибудь мысли ? Может я правда лишнего нагородил или недописал чего? Еще правда прописывал на 2600 Циске так :
ip nat inside source static tcp 192.168.40.2 25 217.21.229.122 25 extendable - не видит и все тут :(
еще кусочек конфига пикса
global (outside) 1 192.168.40.10-192.168.40.254 netmask 255.255.255.0
global (dmz) 1 192.168.4.128-192.168.4.254 netmask 255.255.255.0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
nat (dmz) 1 192.168.4.0 255.255.255.0 0 0
static (dmz,outside) tcp 192.168.40.2 smtp mserv smtp netmask 255.255.255.255 0 0
В консоле при отладке выдает что TCP connection discarded .... smtp
Вот такие дела неутешительные ... А в понедельник должно все работать ...
Всем спасибо большое.

Содержание

Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :(,sh_, 18:55 , 19-Фев-05
- Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :(,Peter, 20:46 , 19-Фев-05
  - Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :(,Peter, 23:02 , 19-Фев-05
    - Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :(,Peter, 15:26 , 21-Фев-05
      - Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :(,Tiam, 15:35 , 22-Фев-05
        
        Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :(,Peter, 14:04 , 24-Фев-05
        
        Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :(,Rod, 14:34 , 24-Фев-05
        
        Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :(,Peter, 15:35 , 24-Фев-05
        
        Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :(,Rodion, 16:55 , 24-Фев-05
        
        Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :(,Peter, 18:43 , 26-Фев-05

Сообщения в этом обсуждении

"Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :("
Отправлено sh_ , 19-Фев-05 18:55

acl на outside access-list out_access_in permit tcp any host mserv eq smtp

"Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :("
Отправлено Peter , 19-Фев-05 20:46

>acl на outside access-list out_access_in permit tcp any host mserv eq smtp
>
Согласен с Вами - недоглядел, прописал, все равно в консоле пишет след. строчки:
710005 TCP request discarded from 216.96.108.34/1522 to outside:192.168.40.2/smtp
710005 TCP request discarded from 81.49.132.119/2829 to outside:192.168.40.2/smtp
и т.д. т.е. все ломятся на наш сервер, а соединения отвергаются, из-за чего такое может быть? Вроде все прописано :(
Спасибо.

"Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :("
Отправлено Peter , 19-Фев-05 23:02

:( Бред какой то, PIX отчаенно не пускает пакеты в ДМЗ от других почтовых серверов :(
все вроде по логике правильно написано, пакет приходит на внешний интерфейс Кошки 2600-ой (217.21.229.122) далее НАТ-ится на outside PIX-а "ip nat inside source static 192.168.40.2 217.21.229.122" (192.168.40.2 - outside pix interface), после чего все пакеты должны по Static Nat заворачиваться на mserv (192.168.4.4) через DMZ interface PIX-а (192.168.4.1) "static (dmz,outside) tcp 192.168.40.2 smtp mserv smtp netmask 255.255.255.255 0 0" по разрешающей в соотв. ACL записи
"access-list outside_access_in permit tcp any host mserv eq smtp". Пакеты то доходят до outside interface pix-a (192.168.40.2) и об него как об стену разбиваются :( Чего ж еще ему не хватает ?
P.S. еще обратил внимание что и с нашего почтовика ничего не уходит во внешний мир :( Однако из внутренней сети на почтовик в ДМЗ-зоне дохожу без проблем и забираю с него и отправляю...
Толкните в нужном направлении куда копать, а то так шарики за ролики заедут :(

"Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :("
Отправлено Peter , 21-Фев-05 15:26

.... И вообще корректно ли то, что я пытаюсь сделать ??

"Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :("
Отправлено Tiam , 22-Фев-05 15:35

>
>.... И вообще корректно ли то, что я пытаюсь сделать ??
Вот такие куски:
Это пикс
global (outside) 1 <внешний ip> netmask 255.255.255.х
nat (inside) 1 10.203.1.0 255.255.255.0 0 0
static (dmz,outside) <внешний ip> <внутренний ip почтовика в DMZ> netmask 255.255.255.255 0 0
static (inside,dmz) 10.203.1.0 10.203.1.0 netmask 255.255.255.0 0 0
Это роутер
ip route 0.0.0.0 0.0.0.0 (адрес сериала провайдера)
ip route <внешний диаппазон вашей сети> 255.255.255.x <ip outside интерфейса пикса>
Если не понятно написал, то в мыло... tiam2000 at mail dot ru

"Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :("
Отправлено Peter , 24-Фев-05 14:04

спасибо, хоть один человек ответил, сейчас в мыло отпишу, еще раз спасибо.

"Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :("
Отправлено Rod , 24-Фев-05 14:34

>спасибо, хоть один человек ответил, сейчас в мыло отпишу, еще раз спасибо.
>
Nu chto? Poboroli problemu?

"Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :("
Отправлено Peter , 24-Фев-05 15:35

>>спасибо, хоть один человек ответил, сейчас в мыло отпишу, еще раз спасибо.
>>
>
>Nu chto? Poboroli problemu?
Пока нет, как только сеть освободится от пользователей - буду пробовать, хотя все еще не одназначно.

"Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :("
Отправлено Rodion , 24-Фев-05 16:55

>>>спасибо, хоть один человек ответил, сейчас в мыло отпишу, еще раз спасибо.
>>>
>>
>>Nu chto? Poboroli problemu?
>
>Пока нет, как только сеть освободится от пользователей - буду пробовать, хотя
>все еще не одназначно.
Prosmotrel vse -na perviy vzglad vse logichno...vozmogno - izlishniy kommentariy, no:na PIX nadeyus est':
access-group out_access_in in interface outside ?

"Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :("
Отправлено Peter , 26-Фев-05 18:43

>Prosmotrel vse -na perviy vzglad vse logichno...vozmogno - izlishniy kommentariy, no:na PIX
>nadeyus est':
>access-group out_access_in in interface outside ?
Да, конечно есть
access-list outside_access_in permit tcp any host mserv eq smtp
access-list outside_access_in permit tcp any any eq domain
access-list outside_access_in permit udp any any eq domain