URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 9329
[ Назад ]

Исходное сообщение
"nat"

Отправлено GnomS , 05-Дек-05 06:40 
Привет всем!
вот что появлюется в таблице трансляции
udp x.y.z.q:28 192.200.100.1:137  192.168.64.1:137   192.168.64.1:137
udp x.y.z.q:27 192.200.100.1:137  192.168.217.1:137  192.168.217.1:137
x.y.z.q - внешний интерфейс
транслирую в сеть только SMTP(25) и DNS(UDP,TCP 53)
Откуда такая лабуда может взяться????

Содержание

Сообщения в этом обсуждении
"nat"
Отправлено sh_ , 05-Дек-05 09:35 
Конфиг покажи...

"nat"
Отправлено Изгой , 05-Дек-05 12:38 
>Конфиг покажи...


Насколько я помню у тебя ещё динамическая трансляция прописана
ip nat inside sours list 101  интерфейс оверлоад  - ну вот выходит твой адресс по udp на 192.168 частные адреса которые закрывать надо . ИМХО
Если нужна только почта приходящая убери динамическую трансляцию. Да и попробуй убери статический проброс DNS , интерестно будет без них работать.


"nat"
Отправлено GnomS , 06-Дек-05 05:45 
>>Конфиг покажи...
>
>
>Насколько я помню у тебя ещё динамическая трансляция прописана
>ip nat inside sours list 101  интерфейс оверлоад  - ну
>вот выходит твой адресс по udp на 192.168 частные адреса которые
>закрывать надо . ИМХО
>Если нужна только почта приходящая убери динамическую трансляцию. Да и попробуй убери
>статический проброс DNS , интерестно будет без них работать.
Привет ИЗГОЙ!Рад что пишешь
Почта мне нужна и входящяя и выходящяя.
А вот 192,168 адреса я закрываю access-list на внешнем интерфейсе.Может на выходящем закрыть? и еще хочу закрыть все порты связанные с netbios (137-139)- как ты думаешь стоит или нет
На счет DNS тоже мысля была. Сегодня попробую. Напишу потом.



"nat"
Отправлено Изгой , 06-Дек-05 09:03 
>>>Конфиг покажи...
>>
>>
>>Насколько я помню у тебя ещё динамическая трансляция прописана
>>ip nat inside sours list 101  интерфейс оверлоад  - ну
>>вот выходит твой адресс по udp на 192.168 частные адреса которые
>>закрывать надо . ИМХО
>>Если нужна только почта приходящая убери динамическую трансляцию. Да и попробуй убери
>>статический проброс DNS , интерестно будет без них работать.
>Привет ИЗГОЙ!Рад что пишешь
>Почта мне нужна и входящяя и выходящяя.
>А вот 192,168 адреса я закрываю access-list на внешнем интерфейсе.Может на выходящем
>закрыть? и еще хочу закрыть все порты связанные с netbios (137-139)-
>как ты думаешь стоит или нет
>На счет DNS тоже мысля была. Сегодня попробую. Напишу потом.

Знаешь я не списиалист по защите серверов , мне говорят что открыть что закрыть так и делаю, знаю ещё фаерволлом серваки прикрывают у нас, Я думаю так если у тебя вирус сел то он может по UDP фонить , с твоего сервака , закрывать надо все что не нужно , то есть все порты кроме определённых которые нужны для работы твоего сервера , у тебя 2003 как я понял
, поставь фаерволл , и закрой всё кроме портов которые тебе нужны, конечно хотелось бы чтоб тебе помог более опытный специалист . Кстати посмотри пример моего акцесс листа я тебе его давал , там конечно кое чего нет и тебе надо кое что добавить, но вот http://www.cymru.com/Documents/secure-ios-template.html посмотри как делаеться . Просто работы много у меня плотно заняться некогда твоим вопросом . На почту могу скинуть документы кое какие.


"nat"
Отправлено olmaster , 08-Дек-05 11:31 
Как в сеть транслируется SMTP (25)?
У меня проблема - нужно пропустить снаружи на почтовый сервер почту.


"nat"
Отправлено Изгой , 08-Дек-05 11:45 
>Как в сеть транслируется SMTP (25)?
>У меня проблема - нужно пропустить снаружи на почтовый сервер почту.

ip nat inside source list 1 interface FastEthernet0/0 overload (это не надо если только вовнутрь)
ip nat inside source static tcp 192.200.100.1 25 x.y.z.r 25 extendable при обращение по SMTP  попадают на сервер
ip nat inside source static tcp 192.200.100.1 dns  x.y.z.r dns extendable  при обращение по dns  попадают на сервер ( вместо имен напишешь номера портов) ( попробуй без DNS не пройдёт допишешь)

ip nat inside source static udp 192.200.100.1 dns  x.y.z.r dns extendable   при обращение по dns  попадают на сервер ( вместо имен напишешь номера портов)

ip nat inside source static tcp 192.200.100.1 pop3  x.y.z.r pop3 extendable при обращение по POP3 попадают на сервер ( вместо имен напишешь номера портов)
И акцесс листы смотри правильно ли составлены.