URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 9360
[ Назад ]

Исходное сообщение
"Cisco Pix-515 и почта"
Отправлено olmaster , 08-Дек-05 10:39

Установили PIX (515Е)
и появилась проблема получения почты
конфигурация (остальное default):
PIX Version 6.3(3)
ip address outside 111.11.111.11 255.255.255.0
ip address DMZ 192.168.1.1 255.255.255.0
global (outside) 1 interface
nat (DMZ) 1 192.168.1.2 255.255.255.255 0 0
nat (DMZ) 1 192.168.1.3 255.255.255.255 0 0
route outside 0.0.0.0 0.0.0.0 111.11.111.12 1
при этой конфигурации с почтового сервера 192.168.1.3 почта уходит, но извне не приходит.
192.168.1.2 - proxy
как прописать правило, чтобы извне почта приходила на почтовый сервер?
без PIX все работает (конечно при условии, что адреса 192.* меняются на Internet адреса)
Олег

Содержание

Cisco Pix-515 и почта,ilya, 10:52 , 08-Дек-05
- Cisco Pix-515 и почта,olmaster, 10:55 , 08-Дек-05
  - Cisco Pix-515 и почта,Олег, 11:40 , 08-Дек-05
    - Cisco Pix-515 и почта,olmaster, 11:49 , 08-Дек-05
      - Cisco Pix-515 и почта,Олег, 12:31 , 08-Дек-05
        
        Cisco Pix-515 и почта,olmaster, 08:55 , 09-Дек-05
        
        Cisco Pix-515 и почта,Олег, 10:28 , 12-Дек-05
        
        Cisco Pix-515 и почта,olmaster, 11:53 , 12-Дек-05
  - Cisco Pix-515 и почта,ilya, 11:49 , 08-Дек-05
    - Cisco Pix-515 и почта,olmaster, 11:52 , 08-Дек-05
  - Cisco Pix-515 и почта,olmaster, 11:55 , 08-Дек-05
    - Cisco Pix-515 и почта,Valik, 16:22 , 08-Дек-05
      - Cisco Pix-515 и почта,olmaster, 08:50 , 09-Дек-05
        
        Cisco Pix-515 и почта,Новенький, 07:40 , 13-Дек-05
        
        Cisco Pix-515 и почта,olmaster, 09:11 , 15-Дек-05

Сообщения в этом обсуждении

"Cisco Pix-515 и почта"
Отправлено ilya , 08-Дек-05 10:52

>Установили PIX (515Е)
>и появилась проблема получения почты
>конфигурация (остальное default):
>
>PIX Version 6.3(3)
>ip address outside 111.11.111.11 255.255.255.0
>ip address DMZ 192.168.1.1 255.255.255.0
>global (outside) 1 interface
>nat (DMZ) 1 192.168.1.2 255.255.255.255 0 0
>nat (DMZ) 1 192.168.1.3 255.255.255.255 0 0
>route outside 0.0.0.0 0.0.0.0 111.11.111.12 1
>при этой конфигурации с почтового сервера 192.168.1.3 почта уходит, но извне не
>приходит.
>192.168.1.2 - proxy
>как прописать правило, чтобы извне почта приходила на почтовый сервер?
>
>без PIX все работает (конечно при условии, что адреса 192.* меняются на
> Internet адреса)
>
>Олег

напишите static
и выключите fixup для smtp.

"Cisco Pix-515 и почта"
Отправлено olmaster , 08-Дек-05 10:55

>напишите static
>и выключите fixup для smtp.

делал я такое
static (dmz,outside) 111.11.111.11 192.168.1.3 netmask 255.255.255.255
conduit permit tcp any eq smtp any
и после этого интернет сваливался
и почта тоже не работала
не пойму в чем причина
свободных адресов (интернет) нет
не получается

"Cisco Pix-515 и почта"
Отправлено Олег , 08-Дек-05 11:40

>
>>напишите static
>>и выключите fixup для smtp.
>
>
>делал я такое
>static (dmz,outside) 111.11.111.11 192.168.1.3 netmask 255.255.255.255
>conduit permit tcp any eq smtp any
Попробуйте access-list вместо conduit. Статик должен быть.

"Cisco Pix-515 и почта"
Отправлено olmaster , 08-Дек-05 11:49

>
>Попробуйте access-list вместо conduit. Статик должен быть.
В том то и дело, что если статику составить, то валится остальное
похоже NAT и статика не дружат между собой.
Статика пишется на один адрес Interface-ный
Скорее всего Access-list без статики нужно прописать
что-то вроде
Access-list acl_out permit tcp 111.11.111.11 eq 25 host 192.168.1.3
Access-gr acl_out in interface outside
или как?

"Cisco Pix-515 и почта"
Отправлено Олег , 08-Дек-05 12:31

>Access-list acl_out permit tcp 111.11.111.11 eq 25 host 192.168.1.3
>Access-gr acl_out in interface outside
>
>или как?
На адрес, к которому будет обращаться внешний клиент (NATовский ;-)).
Попробуйте команду nat if_name 0 access-list acl_id
В листе управления доступом укажите адрес сервера, который нужно выставить с исп. команды static.

"Cisco Pix-515 и почта"
Отправлено olmaster , 09-Дек-05 08:55

>На адрес, к которому будет обращаться внешний клиент (NATовский ;-)).
>
>Попробуйте команду nat if_name 0 access-list acl_id
>В листе управления доступом укажите адрес сервера, который нужно выставить с исп.
>команды static.
А без static нельзя?
Чтобы проходило извне по access-list.

"Cisco Pix-515 и почта"
Отправлено Олег , 12-Дек-05 10:28

>А без static нельзя?
>Чтобы проходило извне по access-list.
Нельзя:
For an external host to initiate traffic to an inside host, a static translation rule needs to exist for the inside host; this can also be done using a nat 0 access-list address translation rule. Without the persistent
translation rule, the translation cannot occur.
You can use the static and access-list commands when you are accessing the interface of a higher security level from an interface of a lower security level; for example, when accessing the inside from a
perimeter or the outside interface.

"Cisco Pix-515 и почта"
Отправлено olmaster , 12-Дек-05 11:53

Да, уж.
Будем "лепить" статику
Спасибо
Олег.

"Cisco Pix-515 и почта"
Отправлено ilya , 08-Дек-05 11:49

>
>>напишите static
>>и выключите fixup для smtp.
>
>
>делал я такое
>static (dmz,outside) 111.11.111.11 192.168.1.3 netmask 255.255.255.255
>conduit permit tcp any eq smtp any
>
>и после этого интернет сваливался
>и почта тоже не работала
>не пойму в чем причина
>свободных адресов (интернет) нет
>
>не получается

и включите лог на пиксе в консоль.
если что-то не работает то сообщение появится в консоли и будет видно в чем причина.

"Cisco Pix-515 и почта"
Отправлено olmaster , 08-Дек-05 11:52

>и включите лог на пиксе в консоль.
>если что-то не работает то сообщение появится в консоли и будет видно
>в чем причина.
log просматриваю на syslog

"Cisco Pix-515 и почта"
Отправлено olmaster , 08-Дек-05 11:55

>>и выключите fixup для smtp.
зачем отключать ?
тогда в чем смысл Firewall PIX?

"Cisco Pix-515 и почта"
Отправлено Valik , 08-Дек-05 16:22

>
>>>и выключите fixup для smtp.
>зачем отключать ?
>тогда в чем смысл Firewall PIX?
В том, что при включенном
The fixup protocol smtp command enables the Mail Guard feature. This restricts mail
servers to receiving only the seven commands defined in RFC 821, section 4.5.1 (HELO,
MAIL, RCPT, DATA, RSET, NOOP, and QUIT). All other commands are rejected.
И соответсвенно оно не работает с серверами, которые этог не придерживаются

"Cisco Pix-515 и почта"
Отправлено olmaster , 09-Дек-05 08:50

>В том, что при включенном
>The fixup protocol smtp command enables the Mail Guard feature. This restricts
>mail
>servers to receiving only the seven commands defined in RFC 821, section
>4.5.1 (HELO,
>MAIL, RCPT, DATA, RSET, NOOP, and QUIT). All other commands are rejected.
>
>
>И соответсвенно оно не работает с серверами, которые этог не придерживаются

Так не честно.
Должна быть конфигурация с включенным fixup protocol smtp
:)

"Cisco Pix-515 и почта"
Отправлено Новенький , 13-Дек-05 07:40

У меня робит с fixup protocol smtp   (остальные команды на смтп нафиг не нужны, так что все ок). По теме ДМЗ - граничная область между защищаемой сетью и внешней сетью. Туда, как правило, выводятся различные сервисы, которые д.б. доступны из локальной сети и из внешней сети. Как сделанно у меня:
global (outside) 1 xx.xx.xx.xx  <- IP с которого все будут выходить
global (dmz) 1 192.168.хх.100-192.168.хх.110 <- пул адресов, для "ната" из локалки в ДМЗ
static (dmz,outside) xx.xx.xx.xx 192.168.xx.xx netmask 255.255.255.255 <- СМТП
nat (dmz) 1 192.168.xx.xx 255.255.255.0  <- нат для дмз
access-list dmz-out extended permit tcp any host xx.xx.xx.xx eq 25 <- разрешаем извне ходить на smtp
access-list vip-acl extended permit tcp any host 192.168.xx.xx eq smtp <- изнутри разрешаем по смтп ходить в дмз
Не забудь прописать акцесс группы на интерфейсы outside и inside
access-group dmz-out in interface outside
access-group vip-acl in interface inside
Ну в общем у меня робит окейна.

"Cisco Pix-515 и почта"
Отправлено olmaster , 15-Дек-05 09:11

Всем огромное спасибо.
Олег