URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 9240
[ Назад ]

Исходное сообщение
"почта внутрь и наружу"

Отправлено GnomS , 22-Ноя-05 12:05 
Привет всем!
Как пропустить внутрь и наружу почту. На Cisco настроил NAT с 25 порта внешнего IP на 25 порт внутреннего сервера. И ТИШИНА-а-а-а.
Не бейте я всего учусь.

Содержание

Сообщения в этом обсуждении
"почта внутрь и наружу"
Отправлено Изгой , 22-Ноя-05 15:31 
>Привет всем!
>Как пропустить внутрь и наружу почту. На Cisco настроил NAT с 25
>порта внешнего IP на 25 порт внутреннего сервера. И ТИШИНА-а-а-а.
>Не бейте я всего учусь.


DNS пусти а то плакать почта будет.  А тебе именно SMTP ?  или ещё что ?
а потом мало ли что ты в акцесс листах у себя закрыл)
Выдавай весь конфиг.


"почта внутрь и наружу"
Отправлено GnomS , 24-Ноя-05 06:17 
>>Привет всем!
>>Как пропустить внутрь и наружу почту. На Cisco настроил NAT с 25
>>порта внешнего IP на 25 порт внутреннего сервера. И ТИШИНА-а-а-а.
>>Не бейте я всего учусь.
>
>
>DNS пусти а то плакать почта будет.  А тебе именно SMTP
>?  или ещё что ?
>а потом мало ли что ты в акцесс листах у себя закрыл)
>
>Выдавай весь конфиг.
вот то что есть на данный момент

version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname 2621
!
boot-start-marker
boot-end-marker
!
enable secret 5
enable password 7
!
clock timezone EKB 6
no network-clock-participate slot 1
no network-clock-participate wic 0
no aaa new-model
ip subnet-zero
ip cef
!
!
!
no ip bootp server
ip name-server x.y.z.w
no ftp-server write-enable
!
!
!
!
interface FastEthernet0/0
ip address x.y.z.r 255.255.255.0
ip access-group 102 in
ip nat outside
speed auto
full-duplex
no mop enabled
!
interface FastEthernet0/1
ip address 192.200.100.62 255.255.255.0
ip nat inside
speed auto
full-duplex
no mop enabled
!
ip nat inside source list 101 interface FastEthernet0/0 overload
ip nat inside source static tcp 192.200.100.1 25 x.y.z.r 25 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 x.y.z.e
no ip http server
!
access-list 101 permit ip host x.y.z.r any log
access-list 101 permit ip host 192.200.100.1 any log
access-list 101 permit tcp any any eq pop3 log
access-list 101 permit tcp any any eq smtp log
access-list 101 deny   ip any any log
access-list 102 permit udp host qq.qq.qq.qq any log
access-list 102 permit tcp any any established
access-list 102 permit udp any any eq domain
access-list 102 permit tcp any any eq domain log
access-list 102 permit icmp any any log
access-list 102 permit ip host x.y.z.w any log
access-list 102 permit ip host x.y.z.e any log
access-list 102 deny   ip 192.168.0.0 0.0.255.255 any
access-list 102 deny   ip host 127.0.0.1 any log
access-list 102 deny   ip 192.200.0.0 0.0.255.255 any log
access-list 102 deny   ip any any log
dialer-list 1 protocol ip permit
!
line con 0
line aux 0
line vty 0 4
password 7
login
!
ntp clock-period 17180227
ntp server qq.qq.qq.qq
!
!
end


"почта внутрь и наружу"
Отправлено Изгой , 24-Ноя-05 09:11 
>>>Привет всем!
>>>Как пропустить внутрь и наружу почту. На Cisco настроил NAT с 25
>>>порта внешнего IP на 25 порт внутреннего сервера. И ТИШИНА-а-а-а.
>>>Не бейте я всего учусь.
>>
>>
>>DNS пусти а то плакать почта будет.  А тебе именно SMTP
>>?  или ещё что ?
>>а потом мало ли что ты в акцесс листах у себя закрыл)
>>
>>Выдавай весь конфиг.
>вот то что есть на данный момент
>
>version 12.3
>service timestamps debug datetime msec
>service timestamps log datetime msec
>service password-encryption
>!
>hostname 2621
>!
>boot-start-marker
>boot-end-marker
>!
>enable secret 5
>enable password 7
>!
>clock timezone EKB 6
>no network-clock-participate slot 1
>no network-clock-participate wic 0
>no aaa new-model
>ip subnet-zero
>ip cef
>!
>!
>!
>no ip bootp server
>ip name-server x.y.z.w
>no ftp-server write-enable
>!
>!
>!
>!
>interface FastEthernet0/0
> ip address x.y.z.r 255.255.255.0
> ip access-group 102 in
> ip nat outside
> speed auto
> full-duplex
> no mop enabled
>!
>interface FastEthernet0/1
> ip address 192.200.100.62 255.255.255.0
> ip nat inside
> speed auto
> full-duplex
> no mop enabled
>!
>ip nat inside source list 101 interface FastEthernet0/0 overload
>ip nat inside source static tcp 192.200.100.1 25 x.y.z.r 25 extendable
>ip classless
>ip route 0.0.0.0 0.0.0.0 x.y.z.e
>no ip http server
>!
>access-list 101 permit ip host x.y.z.r any log
>access-list 101 permit ip host 192.200.100.1 any log
>access-list 101 permit tcp any any eq pop3 log
>access-list 101 permit tcp any any eq smtp log
>access-list 101 deny   ip any any log
>access-list 102 permit udp host qq.qq.qq.qq any log
>access-list 102 permit tcp any any established
>access-list 102 permit udp any any eq domain
>access-list 102 permit tcp any any eq domain log
>access-list 102 permit icmp any any log
>access-list 102 permit ip host x.y.z.w any log
>access-list 102 permit ip host x.y.z.e any log
>access-list 102 deny   ip 192.168.0.0 0.0.255.255 any
>access-list 102 deny   ip host 127.0.0.1 any log
>access-list 102 deny   ip 192.200.0.0 0.0.255.255 any log
>access-list 102 deny   ip any any log
>dialer-list 1 protocol ip permit
>!
>line con 0
>line aux 0
>line vty 0 4
> password 7
> login
>!
>ntp clock-period 17180227
>ntp server qq.qq.qq.qq
>!
>!
>end

Так тут надо разобраться , почтовый сервер у тебя 192.200.100.1 к нему надо пустить pop3, smtp правильно ??? в любом случае буду разбираться.Погодь чуток.


"почта внутрь и наружу"
Отправлено GnomS , 24-Ноя-05 10:00 
>>>>Привет всем!
>>>>Как пропустить внутрь и наружу почту. На Cisco настроил NAT с 25
>>>>порта внешнего IP на 25 порт внутреннего сервера. И ТИШИНА-а-а-а.
>>>>Не бейте я всего учусь.
>>>
>>>
>>>DNS пусти а то плакать почта будет.  А тебе именно SMTP
>>>?  или ещё что ?
>>>а потом мало ли что ты в акцесс листах у себя закрыл)
>>>
>>>Выдавай весь конфиг.
>>вот то что есть на данный момент
>>
>>version 12.3
>>service timestamps debug datetime msec
>>service timestamps log datetime msec
>>service password-encryption
>>!
>>hostname 2621
>>!
>>boot-start-marker
>>boot-end-marker
>>!
>>enable secret 5
>>enable password 7
>>!
>>clock timezone EKB 6
>>no network-clock-participate slot 1
>>no network-clock-participate wic 0
>>no aaa new-model
>>ip subnet-zero
>>ip cef
>>!
>>!
>>!
>>no ip bootp server
>>ip name-server x.y.z.w
>>no ftp-server write-enable
>>!
>>!
>>!
>>!
>>interface FastEthernet0/0
>> ip address x.y.z.r 255.255.255.0
>> ip access-group 102 in
>> ip nat outside
>> speed auto
>> full-duplex
>> no mop enabled
>>!
>>interface FastEthernet0/1
>> ip address 192.200.100.62 255.255.255.0
>> ip nat inside
>> speed auto
>> full-duplex
>> no mop enabled
>>!
>>ip nat inside source list 101 interface FastEthernet0/0 overload
>>ip nat inside source static tcp 192.200.100.1 25 x.y.z.r 25 extendable
>>ip classless
>>ip route 0.0.0.0 0.0.0.0 x.y.z.e
>>no ip http server
>>!
>>access-list 101 permit ip host x.y.z.r any log
>>access-list 101 permit ip host 192.200.100.1 any log
>>access-list 101 permit tcp any any eq pop3 log
>>access-list 101 permit tcp any any eq smtp log
>>access-list 101 deny   ip any any log
>>access-list 102 permit udp host qq.qq.qq.qq any log
>>access-list 102 permit tcp any any established
>>access-list 102 permit udp any any eq domain
>>access-list 102 permit tcp any any eq domain log
>>access-list 102 permit icmp any any log
>>access-list 102 permit ip host x.y.z.w any log
>>access-list 102 permit ip host x.y.z.e any log
>>access-list 102 deny   ip 192.168.0.0 0.0.255.255 any
>>access-list 102 deny   ip host 127.0.0.1 any log
>>access-list 102 deny   ip 192.200.0.0 0.0.255.255 any log
>>access-list 102 deny   ip any any log
>>dialer-list 1 protocol ip permit
>>!
>>line con 0
>>line aux 0
>>line vty 0 4
>> password 7
>> login
>>!
>>ntp clock-period 17180227
>>ntp server qq.qq.qq.qq
>>!
>>!
>>end
>
>Так тут надо разобраться , почтовый сервер у тебя 192.200.100.1 к нему
>надо пустить pop3, smtp правильно ??? в любом случае буду разбираться.Погодь
>чуток.

на 192.200.100.1 почтарь Exchange 5.5 SP4
прописал в 102 access-list на вход на 25 порт. Пакеты приходят но долго висят в sh ip nat translation.


"почта внутрь и наружу"
Отправлено Изгой , 24-Ноя-05 11:08 
>>>>>Привет всем!
>>>>>Как пропустить внутрь и наружу почту. На Cisco настроил NAT с 25
>>>>>порта внешнего IP на 25 порт внутреннего сервера. И ТИШИНА-а-а-а.
>>>>>Не бейте я всего учусь.
>>>>
>>>>
>>>>DNS пусти а то плакать почта будет.  А тебе именно SMTP
>>>>?  или ещё что ?
>>>>а потом мало ли что ты в акцесс листах у себя закрыл)
>>>>
>>>>Выдавай весь конфиг.
>>>вот то что есть на данный момент
>>>
>>>version 12.3
>>>service timestamps debug datetime msec
>>>service timestamps log datetime msec
>>>service password-encryption
>>>!
>>>hostname 2621
>>>!
>>>boot-start-marker
>>>boot-end-marker
>>>!
>>>enable secret 5
>>>enable password 7
>>>!
>>>clock timezone EKB 6
>>>no network-clock-participate slot 1
>>>no network-clock-participate wic 0
>>>no aaa new-model
>>>ip subnet-zero
>>>ip cef
>>>!
>>>!
>>>!
>>>no ip bootp server
>>>ip name-server x.y.z.w
>>>no ftp-server write-enable
>>>!
>>>!
>>>!
>>>!
>>>interface FastEthernet0/0
>>> ip address x.y.z.r 255.255.255.0
>>> ip access-group 102 in
>>> ip nat outside
>>> speed auto
>>> full-duplex
>>> no mop enabled
>>>!
>>>interface FastEthernet0/1
>>> ip address 192.200.100.62 255.255.255.0
>>> ip nat inside
>>> speed auto
>>> full-duplex
>>> no mop enabled
>>>!
>>>ip nat inside source list 101 interface FastEthernet0/0 overload
>>>ip nat inside source static tcp 192.200.100.1 25 x.y.z.r 25 extendable
>>>ip classless
>>>ip route 0.0.0.0 0.0.0.0 x.y.z.e
>>>no ip http server
>>>!
>>>access-list 101 permit ip host x.y.z.r any log
>>>access-list 101 permit ip host 192.200.100.1 any log
>>>access-list 101 permit tcp any any eq pop3 log
>>>access-list 101 permit tcp any any eq smtp log
>>>access-list 101 deny   ip any any log
>>>access-list 102 permit udp host qq.qq.qq.qq any log
>>>access-list 102 permit tcp any any established
>>>access-list 102 permit udp any any eq domain
>>>access-list 102 permit tcp any any eq domain log
>>>access-list 102 permit icmp any any log
>>>access-list 102 permit ip host x.y.z.w any log
>>>access-list 102 permit ip host x.y.z.e any log
>>>access-list 102 deny   ip 192.168.0.0 0.0.255.255 any
>>>access-list 102 deny   ip host 127.0.0.1 any log
>>>access-list 102 deny   ip 192.200.0.0 0.0.255.255 any log
>>>access-list 102 deny   ip any any log
>>>dialer-list 1 protocol ip permit
>>>!
>>>line con 0
>>>line aux 0
>>>line vty 0 4
>>> password 7
>>> login
>>>!
>>>ntp clock-period 17180227
>>>ntp server qq.qq.qq.qq
>>>!
>>>!
>>>end
>>
>>Так тут надо разобраться , почтовый сервер у тебя 192.200.100.1 к нему
>>надо пустить pop3, smtp правильно ??? в любом случае буду разбираться.Погодь
>>чуток.
>
>на 192.200.100.1 почтарь Exchange 5.5 SP4
>прописал в 102 access-list на вход на 25 порт. Пакеты приходят но
>долго висят в sh ip nat translation.

access-list 102 deny ip 127.0.0.0 0.255.255.255 any
access-list 102 deny ip 10.0.0.0 0.255.255.255 any
access-list 102 deny ip 172.16.0.0 0.15.255.255 any
access-list 102 deny ip 192.168.0.0 0.0.255.255 any
access-list 102 deny ip any 0.0.0.255 255.255.255.0
access-list 102 deny ip any 0.0.0.0 255.255.255.0
!
access-list 102 deny ip host x.y.z.r   any (тут должен быть написан твой  адрес под которым ты выходишь в инет , у тебя это адрес интерфейса маршрутизатора.
access-list 102 permit tcp any any established
access-list 102 permit tcp any any eq pop3
access-list 102 permit tcp any any eq smtp
access-list 102 permit tcp any any eq dns
access-list 102 permit udp any any eq dns
access-list 102 permit udp any eg dns any  gt 1023
access-list 102 permit udp host qq.qq.qq.qq any log
access-list 102 permit ip host x.y.z.w any log
access-list 102 permit ip host x.y.z.e any log
access-list 102 permit icmp any any
access-list 102 deny   ip any any log


С натом значит
убираем
access-list 101 permit ip host x.y.z.r any log
access-list 101 permit ip host 192.200.100.1 any log
access-list 101 permit tcp any any eq pop3 log
access-list 101 permit tcp any any eq smtp log
access-list 101 deny   ip any any log
________________________________________

напишем пока  accs – list 1 permit 192.200.100.0  0.0.0.255  это на нат вешаем

ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source static tcp 192.200.100.1 25 x.y.z.r 25 extendable при обращение по SMTP  попадают на сервер
ip nat inside source static tcp 192.200.100.1 dns  x.y.z.r dns extendable  при обращение по dns  попадают на сервер ( вместо имен напишешь номера портов)

ip nat inside source static udp 192.200.100.1 dns  x.y.z.r dns extendable   при обращение по dns  попадают на сервер ( вместо имен напишешь номера портов)

ip nat inside source static tcp 192.200.100.1 pop3  x.y.z.r pop3 extendable при обращение по POP3 попадают на сервер ( вместо имен напишешь номера портов)


пропиши пока так , и посмотрим. Что получится , я сервера почтовые не настраивал поэтому сказать нужно ли на него пробрасывать DNS запросы не знаю , но у нас я прописывал , я рулю тока циской.
Да и с адресами  192.200.100.0 не очень хорошо – это у тебя серые адреса ???  если серые то не перекроешь  на входящем  интерфейсе .


"почта внутрь и наружу"
Отправлено GnomS , 24-Ноя-05 11:21 
огромное спосибо. Сейчас попробую
А что значит серые адреса? и почему не перекроешь на входящем интерфейсе?

"почта внутрь и наружу"
Отправлено Изгой , 24-Ноя-05 12:40 
>огромное спосибо. Сейчас попробую
>А что значит серые адреса? и почему не перекроешь на входящем интерфейсе?
>
192.200.100.0 у тебя подсеть внутренняя не выдана провайдером ты её сам назначал ? если сам то серые адреса , если не сам то белые , белые адреса это те адреса которые напрямую видны из инета , а не перекроешь на входном интервейсе твои адреса внутренние потому что они не входят в частные адреса и значит если в инете кто то сидит под этими адресами то мы просто их отсечом от себя вот и всё.


"почта внутрь и наружу"
Отправлено GnomS , 24-Ноя-05 13:50 
ну вот загнал.
Только acc-list 1 не стал делать, а сделал 101 что бы всю сеь не пускать пока
после отправки почты на мой адрес пишется
NAT: s=194.67.57.88, d=x.y.z.w->192.200.100.1 [9107
где x.y.z.w - адрес внешнего интерфейса
а через некоторое время

NAT: expiring x.y.z.w (192.200.100.1) tcp 25 (25)
но почты я так и не вижу



"почта внутрь и наружу"
Отправлено Изгой , 24-Ноя-05 14:10 
>ну вот загнал.
>Только acc-list 1 не стал делать, а сделал 101 что бы всю
>сеь не пускать пока
>после отправки почты на мой адрес пишется
>NAT: s=194.67.57.88, d=x.y.z.w->192.200.100.1 [9107
>где x.y.z.w - адрес внешнего интерфейса
>а через некоторое время
>
>NAT: expiring x.y.z.w (192.200.100.1) tcp 25 (25)
>но почты я так и не вижу

убери
access-list 101 permit ip host x.y.z.r any log
access-list 101 permit ip host 192.200.100.1 any log
access-list 101 permit tcp any any eq pop3 log
access-list 101 permit tcp any any eq smtp log
access-list 101 deny   ip any any log
поставь пока acl 1 permit адрес почтового сервера на нат
попробуй , если не получиться  , убери с внешнего интерфейса acl 102 пока
и будем искать буратино - попробуй.
всё остальное оставь , пойдём от простейшего , если последний вариант работать не будет ищи буратину на почтовом серваке , да а сейчас интернет просматривается нормально ???
в общем сделай так.


"почта внутрь и наружу"
Отправлено GnomS , 24-Ноя-05 14:14 
Все заработало!
Последние рекомендации не нонадобились.
Теперь на выход почту буду копать.
Огромное спосибо ИЗГОЙ

"почта внутрь и наружу"
Отправлено Изгой , 24-Ноя-05 14:22 
>>ну вот загнал.
>>Только acc-list 1 не стал делать, а сделал 101 что бы всю
>>сеь не пускать пока
>>после отправки почты на мой адрес пишется
>>NAT: s=194.67.57.88, d=x.y.z.w->192.200.100.1 [9107
>>где x.y.z.w - адрес внешнего интерфейса
>>а через некоторое время
>>
>>NAT: expiring x.y.z.w (192.200.100.1) tcp 25 (25)
>>но почты я так и не вижу
>
>убери
>access-list 101 permit ip host x.y.z.r any log
>access-list 101 permit ip host 192.200.100.1 any log
>access-list 101 permit tcp any any eq pop3 log
>access-list 101 permit tcp any any eq smtp log
>access-list 101 deny   ip any any log
>поставь пока acl 1 permit адрес почтового сервера на нат
>попробуй , если не получиться  , убери с внешнего интерфейса acl
>102 пока
>и будем искать буратино - попробуй.
>всё остальное оставь , пойдём от простейшего , если последний вариант работать
>не будет ищи буратину на почтовом серваке , да а сейчас
>интернет просматривается нормально ???
>в общем сделай так.

ip access-list extended InSerial0/0 ( фильтруем входящий трафик интерфейса serial 0/0)
Deny ip 1.1.1.0 0.0.0.255 any ( запрещаем вход к нам с наших же адресов)

permit udp any gt 1023 host 1.1.1.2 eg 53 DNS входящий
permit udp any eq 53 host 1.1.1.2 gt 1023 DNS ответы  на наши запросы

permit tcp any eq 80 host 1.1.1.2 gt 1023 established НТТP ответы на наши запросы(инициаторы соединений являемся мы.)
permit tcp any eq 443 host 1.1.1.2 gt 1023 established НТТPS ответы на наши запросы(инициаторы соединений являемся мы.)
permit tcp any gt 1023 host 1.1.1.2 eg 25  SMTP запросы из Интернета
permit tcp any eq 25 host 1.1.1.2 gt 1023 established SMTP ответы на наши запросы(инициаторы соединений являемся мы.)
permit  tcp any eg 21 host 1.1.1.2 gt 1023 established FTP запросы наши
permit  tcp any eg 20 host 1.1.1.2 gt 1023  FTP закачка трафика к нам.

Permit icmp any host 1.1.1.2 3 Пропускаем на прокси все сообщения о недоступности.
Permit icmp any host 1.1.1.2 11 Пропускаем к прокси все сообщения о превышении времени.
Permit icmp host 1.1.1.3 host 1.1.1.4  мы принимаем с соседнего маршрутизатора провайдера любые icmp сообщения и отвечаем соответственно
Permit icmp any host 1.1.1.2 echo replay Прокси принимает эхо ответ
Deny ip any any все остальное запрещаем что не разрешено по акцесс листу.


У меня на проксе крутиться почтовый сервер , правда всё без ната , это новый акцесс ещё не опробованный , но старый отличаеться малым.



"почта внутрь и наружу"
Отправлено Изгой , 24-Ноя-05 14:25 
>>>ну вот загнал.
>>>Только acc-list 1 не стал делать, а сделал 101 что бы всю
>>>сеь не пускать пока
>>>после отправки почты на мой адрес пишется
>>>NAT: s=194.67.57.88, d=x.y.z.w->192.200.100.1 [9107
>>>где x.y.z.w - адрес внешнего интерфейса
>>>а через некоторое время
>>>
>>>NAT: expiring x.y.z.w (192.200.100.1) tcp 25 (25)
>>>но почты я так и не вижу
>>
>>убери
>>access-list 101 permit ip host x.y.z.r any log
>>access-list 101 permit ip host 192.200.100.1 any log
>>access-list 101 permit tcp any any eq pop3 log
>>access-list 101 permit tcp any any eq smtp log
>>access-list 101 deny   ip any any log
>>поставь пока acl 1 permit адрес почтового сервера на нат
>>попробуй , если не получиться  , убери с внешнего интерфейса acl
>>102 пока
>>и будем искать буратино - попробуй.
>>всё остальное оставь , пойдём от простейшего , если последний вариант работать
>>не будет ищи буратину на почтовом серваке , да а сейчас
>>интернет просматривается нормально ???
>>в общем сделай так.
>
>
>
>ip access-list extended InSerial0/0 ( фильтруем входящий трафик интерфейса serial 0/0)
>Deny ip 1.1.1.0 0.0.0.255 any ( запрещаем вход к нам с наших
>же адресов)
>
>permit udp any gt 1023 host 1.1.1.2 eg 53 DNS входящий
>permit udp any eq 53 host 1.1.1.2 gt 1023 DNS ответы  
>на наши запросы
>
>permit tcp any eq 80 host 1.1.1.2 gt 1023 established НТТP ответы
>на наши запросы(инициаторы соединений являемся мы.)
>permit tcp any eq 443 host 1.1.1.2 gt 1023 established НТТPS ответы
>на наши запросы(инициаторы соединений являемся мы.)
>permit tcp any gt 1023 host 1.1.1.2 eg 25  SMTP запросы
>из Интернета
>permit tcp any eq 25 host 1.1.1.2 gt 1023 established SMTP ответы
>на наши запросы(инициаторы соединений являемся мы.)
>permit  tcp any eg 21 host 1.1.1.2 gt 1023 established FTP
>запросы наши
>permit  tcp any eg 20 host 1.1.1.2 gt 1023  FTP
>закачка трафика к нам.
>
>Permit icmp any host 1.1.1.2 3 Пропускаем на прокси все сообщения о
>недоступности.
>Permit icmp any host 1.1.1.2 11 Пропускаем к прокси все сообщения о
>превышении времени.
>Permit icmp host 1.1.1.3 host 1.1.1.4  мы принимаем с соседнего маршрутизатора
>провайдера любые icmp сообщения и отвечаем соответственно
>Permit icmp any host 1.1.1.2 echo replay Прокси принимает эхо ответ
>Deny ip any any все остальное запрещаем что не разрешено по акцесс
>листу.
>
>
>У меня на проксе крутиться почтовый сервер , правда всё без ната
>, это новый акцесс ещё не опробованный , но старый отличаеться
>малым.

В чём была буратина то?????? ты это рассказывай давай , для потомков !!!!
А за спасибо огромное спасибо )) тебе )) хорошо когда людям всем хорошо)


"почта внутрь и наружу"
Отправлено GnomS , 25-Ноя-05 10:47 
>В чём была буратина то?????? ты это рассказывай давай , для потомков
>!!!!
>А за спасибо огромное спасибо )) тебе )) хорошо когда людям всем
>хорошо)
До конца я так и не понял. Просто не стал access-list 1 делать дабы не пускать всюсвою сеть, а то поволилось очень много барахла, а создал 101 лист и разрешил конект только с 192,200,100,1 и получилось вот:
ip nat inside source list 101 interface FastEthernet0/0 overload
ip nat inside source static tcp 192.200.100.1 25 x.y.z.q 25 extendable
ip nat inside source static tcp 192.200.100.1 53 x.y.z.q 53 extendable
ip nat inside source static udp 192.200.100.1 53 x.y.z.q 53 extendable
!
access-list 101 permit ip host 192.200.100.1 any log
access-list 101 deny   ip any any log
access-list 102 deny   ip 127.0.0.0 0.255.255.255 any
access-list 102 deny   ip 10.0.0.0 0.255.255.255 any
access-list 102 deny   ip 172.16.0.0 0.15.255.255 any
access-list 102 deny   ip 192.168.0.0 0.0.255.255 any
access-list 102 deny   ip any 0.0.0.255 255.255.255.0
access-list 102 deny   ip any 0.0.0.0 255.255.255.0
access-list 102 deny   ip host x.y.z.q any log
access-list 102 permit tcp any any established
access-list 102 permit tcp any any eq pop3 log
access-list 102 permit tcp any any eq smtp log
access-list 102 permit tcp any any eq domain log
access-list 102 permit udp any any eq domain log
access-list 102 permit udp host q.q.q.q any log
access-list 102 permit icmp any any log
access-list 102 deny   ip any any log
где x.y.z.q адрес внешнего интерфейса Cisco
Пока все работает. Только вот наружу почту некогда настроить!!!!

"почта внутрь и наружу"
Отправлено Изгой , 25-Ноя-05 11:15 
>>В чём была буратина то?????? ты это рассказывай давай , для потомков
>>!!!!
>>А за спасибо огромное спасибо )) тебе )) хорошо когда людям всем
>>хорошо)
>До конца я так и не понял. Просто не стал access-list 1
>делать дабы не пускать всюсвою сеть, а то поволилось очень много
>барахла, а создал 101 лист и разрешил конект только с 192,200,100,1
>и получилось вот:
>ip nat inside source list 101 interface FastEthernet0/0 overload
>ip nat inside source static tcp 192.200.100.1 25 x.y.z.q 25 extendable
>ip nat inside source static tcp 192.200.100.1 53 x.y.z.q 53 extendable
>ip nat inside source static udp 192.200.100.1 53 x.y.z.q 53 extendable
>!
>access-list 101 permit ip host 192.200.100.1 any log
>access-list 101 deny   ip any any log
>access-list 102 deny   ip 127.0.0.0 0.255.255.255 any
>access-list 102 deny   ip 10.0.0.0 0.255.255.255 any
>access-list 102 deny   ip 172.16.0.0 0.15.255.255 any
>access-list 102 deny   ip 192.168.0.0 0.0.255.255 any
>access-list 102 deny   ip any 0.0.0.255 255.255.255.0
>access-list 102 deny   ip any 0.0.0.0 255.255.255.0
>access-list 102 deny   ip host x.y.z.q any log
>access-list 102 permit tcp any any established
>access-list 102 permit tcp any any eq pop3 log
>access-list 102 permit tcp any any eq smtp log
>access-list 102 permit tcp any any eq domain log
>access-list 102 permit udp any any eq domain log
>access-list 102 permit udp host q.q.q.q any log
>access-list 102 permit icmp any any log
>access-list 102 deny   ip any any log
>где x.y.z.q адрес внешнего интерфейса Cisco
>Пока все работает. Только вот наружу почту некогда настроить!!!!

Вот у тебя акцесс лист на нат( пат) , это тот трафик который у тебя транслируется в заданный адресс ,
access-list 101 permit ip host 192.200.100.1 any log
access-list 101 deny   ip any any log
а остальной трафик куда пойдёт??? ведь на внутреннй шлюз на входящий трафик у тебя акцесс лист не стоит, соответственно почтарь у тебя пойдёт на трансляцию, все остальные пойдут по маршруту 0.0.0.0 0.0.0.0  - адресс следующего хопа , и наверняка на следующем маршрутизаторе будут удаляться.
Если я не просмотрел по моему у тебя на in входящего трафика на внутренний шлюз акцесс не прописан.


"почта внутрь и наружу"
Отправлено GnomS , 25-Ноя-05 13:50 
>>>В чём была буратина то?????? ты это рассказывай давай , для потомков
>>>!!!!
>>>А за спасибо огромное спасибо )) тебе )) хорошо когда людям всем
>>>хорошо)
>>До конца я так и не понял. Просто не стал access-list 1
>>делать дабы не пускать всюсвою сеть, а то поволилось очень много
>>барахла, а создал 101 лист и разрешил конект только с 192,200,100,1
>>и получилось вот:
>>ip nat inside source list 101 interface FastEthernet0/0 overload
>>ip nat inside source static tcp 192.200.100.1 25 x.y.z.q 25 extendable
>>ip nat inside source static tcp 192.200.100.1 53 x.y.z.q 53 extendable
>>ip nat inside source static udp 192.200.100.1 53 x.y.z.q 53 extendable
>>!
>>access-list 101 permit ip host 192.200.100.1 any log
>>access-list 101 deny   ip any any log
>>access-list 102 deny   ip 127.0.0.0 0.255.255.255 any
>>access-list 102 deny   ip 10.0.0.0 0.255.255.255 any
>>access-list 102 deny   ip 172.16.0.0 0.15.255.255 any
>>access-list 102 deny   ip 192.168.0.0 0.0.255.255 any
>>access-list 102 deny   ip any 0.0.0.255 255.255.255.0
>>access-list 102 deny   ip any 0.0.0.0 255.255.255.0
>>access-list 102 deny   ip host x.y.z.q any log
>>access-list 102 permit tcp any any established
>>access-list 102 permit tcp any any eq pop3 log
>>access-list 102 permit tcp any any eq smtp log
>>access-list 102 permit tcp any any eq domain log
>>access-list 102 permit udp any any eq domain log
>>access-list 102 permit udp host q.q.q.q any log
>>access-list 102 permit icmp any any log
>>access-list 102 deny   ip any any log
>>где x.y.z.q адрес внешнего интерфейса Cisco
>>Пока все работает. Только вот наружу почту некогда настроить!!!!
>
>Вот у тебя акцесс лист на нат( пат) , это тот трафик
>который у тебя транслируется в заданный адресс ,
>access-list 101 permit ip host 192.200.100.1 any log
>access-list 101 deny   ip any any log
>а остальной трафик куда пойдёт??? ведь на внутреннй шлюз на входящий трафик
>у тебя акцесс лист не стоит, соответственно почтарь у тебя пойдёт
>на трансляцию, все остальные пойдут по маршруту 0.0.0.0 0.0.0.0  -
>адресс следующего хопа , и наверняка на следующем маршрутизаторе будут удаляться.
>
>Если я не просмотрел по моему у тебя на in входящего трафика
>на внутренний шлюз акцесс не прописан.
для почтаря этого достаточно. А весь internet трафик я пока пускаю по другому маршруту, не проходищему через cisco , если это ты имеешь ввиду.
через cisco у меня только почта пока будет ходить, просто такая ситуация сейчас в фирме. В последующем я и Internet трафик хочу пустить через cisco , н это уже совсем другая ТЕМА