Привет всем!
вот что появлюется в таблице трансляции
udp x.y.z.q:28 192.200.100.1:137 192.168.64.1:137 192.168.64.1:137
udp x.y.z.q:27 192.200.100.1:137 192.168.217.1:137 192.168.217.1:137
x.y.z.q - внешний интерфейс
транслирую в сеть только SMTP(25) и DNS(UDP,TCP 53)
Откуда такая лабуда может взяться????
Конфиг покажи...
>Конфиг покажи...
Насколько я помню у тебя ещё динамическая трансляция прописана
ip nat inside sours list 101 интерфейс оверлоад - ну вот выходит твой адресс по udp на 192.168 частные адреса которые закрывать надо . ИМХО
Если нужна только почта приходящая убери динамическую трансляцию. Да и попробуй убери статический проброс DNS , интерестно будет без них работать.
>>Конфиг покажи...
>
>
>Насколько я помню у тебя ещё динамическая трансляция прописана
>ip nat inside sours list 101 интерфейс оверлоад - ну
>вот выходит твой адресс по udp на 192.168 частные адреса которые
>закрывать надо . ИМХО
>Если нужна только почта приходящая убери динамическую трансляцию. Да и попробуй убери
>статический проброс DNS , интерестно будет без них работать.
Привет ИЗГОЙ!Рад что пишешь
Почта мне нужна и входящяя и выходящяя.
А вот 192,168 адреса я закрываю access-list на внешнем интерфейсе.Может на выходящем закрыть? и еще хочу закрыть все порты связанные с netbios (137-139)- как ты думаешь стоит или нет
На счет DNS тоже мысля была. Сегодня попробую. Напишу потом.
>>>Конфиг покажи...
>>
>>
>>Насколько я помню у тебя ещё динамическая трансляция прописана
>>ip nat inside sours list 101 интерфейс оверлоад - ну
>>вот выходит твой адресс по udp на 192.168 частные адреса которые
>>закрывать надо . ИМХО
>>Если нужна только почта приходящая убери динамическую трансляцию. Да и попробуй убери
>>статический проброс DNS , интерестно будет без них работать.
>Привет ИЗГОЙ!Рад что пишешь
>Почта мне нужна и входящяя и выходящяя.
>А вот 192,168 адреса я закрываю access-list на внешнем интерфейсе.Может на выходящем
>закрыть? и еще хочу закрыть все порты связанные с netbios (137-139)-
>как ты думаешь стоит или нет
>На счет DNS тоже мысля была. Сегодня попробую. Напишу потом.Знаешь я не списиалист по защите серверов , мне говорят что открыть что закрыть так и делаю, знаю ещё фаерволлом серваки прикрывают у нас, Я думаю так если у тебя вирус сел то он может по UDP фонить , с твоего сервака , закрывать надо все что не нужно , то есть все порты кроме определённых которые нужны для работы твоего сервера , у тебя 2003 как я понял
, поставь фаерволл , и закрой всё кроме портов которые тебе нужны, конечно хотелось бы чтоб тебе помог более опытный специалист . Кстати посмотри пример моего акцесс листа я тебе его давал , там конечно кое чего нет и тебе надо кое что добавить, но вот http://www.cymru.com/Documents/secure-ios-template.html посмотри как делаеться . Просто работы много у меня плотно заняться некогда твоим вопросом . На почту могу скинуть документы кое какие.
Как в сеть транслируется SMTP (25)?
У меня проблема - нужно пропустить снаружи на почтовый сервер почту.
>Как в сеть транслируется SMTP (25)?
>У меня проблема - нужно пропустить снаружи на почтовый сервер почту.ip nat inside source list 1 interface FastEthernet0/0 overload (это не надо если только вовнутрь)
ip nat inside source static tcp 192.200.100.1 25 x.y.z.r 25 extendable при обращение по SMTP попадают на сервер
ip nat inside source static tcp 192.200.100.1 dns x.y.z.r dns extendable при обращение по dns попадают на сервер ( вместо имен напишешь номера портов) ( попробуй без DNS не пройдёт допишешь)ip nat inside source static udp 192.200.100.1 dns x.y.z.r dns extendable при обращение по dns попадают на сервер ( вместо имен напишешь номера портов)
ip nat inside source static tcp 192.200.100.1 pop3 x.y.z.r pop3 extendable при обращение по POP3 попадают на сервер ( вместо имен напишешь номера портов)
И акцесс листы смотри правильно ли составлены.