https://opennet.me/openforum/vsluhforumID6/16170.html Не могу пробросить 25 порт в DMZ<br><br>вот конфиг - ПЛИЗ ХЕЛП уже не знаю что делать столько всего пробавал а ничего не выходит, посмотрите пожалуйсто где неправильно????<br><br>PIX Version 6.3(4)<br>interface ethernet0 auto<br>interface ethernet1 auto<br>interface ethernet2 auto<br>nameif ethernet0 outside security0<br>nameif ethernet1 inside security100<br>nameif ethernet2 intf2 security4<br>enable password MAZHpu0paIjUNeAN encrypted<br>passwd MAZHpu0paIjUNeAN encrypted<br>hostname PIX515<br>domain-name AK-Cisco<br>fixup protocol dns maximum-length 512<br>fixup protocol ftp 21<br>fixup protocol h323 h225 1720<br>fixup protocol h323 ras 1718-1719<br>fixup protocol http 80<br>fixup protocol rsh 514<br>fixup protocol rtsp 554<br>fixup protocol sip 5060<br>fixup protocol sip udp 5060<br>fixup protocol skinny 2000<br>fixup protocol smtp 25<br>fixup protocol sqlnet 1521<br>fixup protocol tftp 69<br>names<br>name 192.168.1.100 admin<br>access-list acl_outbound permit tcp host xxx.xxx.xxx.212 any eq smtp<br>access-list acl_outbound deny tcp any any eq smtp<br>access-list acl_o https://opennet.me/openforum/vsluhforumID6/16170.html#38 Sun, 11 May 2008 10:59:59 GMT &gt;&gt;<br>&gt;&gt;У Вас есть возможность на сервер wireshark поставить? Чтобы послушать на него <br>&gt;&gt;доходит ли трафик. И соответственно, если доходит, то уходит ли <br>&gt;<br>&gt;Нашел что до 10.10.10.200 паекеты доходят а вот назад не возвращаются <br><br>На сервере есть default gateway? Он должен вернуть трафик назад. похоже, что пробема в этом, так как с асой Вы packet-tracer'ом проверили, что трафик проходит.<br><br>По поводу ASDM -- у меня, к сожалению, нет версии 5.2 (она как раз нужна для 7.2 ОС)<br><br>Есть 8.0 ОС и ASDM для нее. Тогда Вам придется еще раз обновляться :)<br>Или на просторах инета поискать ASDM.<br><br> https://opennet.me/openforum/vsluhforumID6/16170.html#37 Sun, 11 May 2008 07:23:30 GMT &gt;&gt;Проходит. <br>&gt;&gt;<br>&gt;&gt;Ничего не понимаю. Уже и сервер проверил т.е. если просто конектится к <br>&gt;&gt;10.10.10.200 на 25 порт все нормально, если через PIX опять не <br>&gt;&gt;хочет. <br>&gt;<br>&gt;Тогда вопрос другой. А на сервере с маршрутами всё в порядке? <br>&gt;<br>&gt;У Вас есть возможность на сервер wireshark поставить? Чтобы послушать на него <br>&gt;доходит ли трафик. И соответственно, если доходит, то уходит ли <br><br>Нашел что до 10.10.10.200 паекеты доходят а вот назад не возвращаются<br> https://opennet.me/openforum/vsluhforumID6/16170.html#36 Fri, 09 May 2008 11:09:14 GMT &gt;&gt;Проходит. <br>&gt;&gt;<br>&gt;&gt;Ничего не понимаю. Уже и сервер проверил т.е. если просто конектится к <br>&gt;&gt;10.10.10.200 на 25 порт все нормально, если через PIX опять не <br>&gt;&gt;хочет. <br>&gt;<br>&gt;Тогда вопрос другой. А на сервере с маршрутами всё в порядке? <br>&gt;<br>&gt;У Вас есть возможность на сервер wireshark поставить? Чтобы послушать на него <br>&gt;доходит ли трафик. И соответственно, если доходит, то уходит ли <br><br>Сервер у меня виндовый и на нем стоит ISA server 2004 и у меня нет софта который бы посмотрел доходят ли пакеты, но средствами самого иса сервера я проверил что порт функционирует и пробовал коннектится к нему.<br><br>Еще вопросик - у Вас какой стоит ASDM? Я скачал asdm-512, но он с этой версией иоса не работает, может подскажите где взять его для 7 2 2?<br> https://opennet.me/openforum/vsluhforumID6/16170.html#35 Fri, 09 May 2008 10:30:17 GMT &gt;Проходит. <br>&gt;<br>&gt;Ничего не понимаю. Уже и сервер проверил т.е. если просто конектится к <br>&gt;10.10.10.200 на 25 порт все нормально, если через PIX опять не <br>&gt;хочет. <br><br>Тогда вопрос другой. А на сервере с маршрутами всё в порядке? <br><br>У Вас есть возможность на сервер wireshark поставить? Чтобы послушать на него доходит ли трафик. И соответственно, если доходит, то уходит ли<br> https://opennet.me/openforum/vsluhforumID6/16170.html#34 Fri, 09 May 2008 10:21:15 GMT &gt;Ошиблась. Назад не так: <br>&gt;<br>&gt;&gt;То назад будет: <br>&gt;&gt; &gt;&gt;&gt;packet-tracer input outside tcp 10.10.10.200 25 ххх.ххх.ххх.215 25 <br>&gt;&gt;<br>&gt;<br>&gt;так правильно: <br>&gt;&gt;&gt;&gt;packet-tracer input intf2 tcp 10.10.10.200 25 ххх.ххх.ххх.215 25 <br><br>Проходит.<br><br>Ничего не понимаю. Уже и сервер проверил т.е. если просто конектится к 10.10.10.200 на 25 порт все нормально, если через PIX опять не хочет.<br> https://opennet.me/openforum/vsluhforumID6/16170.html#33 Fri, 09 May 2008 09:23:07 GMT Ошиблась. Назад не так:<br><br>&gt;То назад будет: <br>&gt; &gt;&gt;&gt;packet-tracer input outside tcp 10.10.10.200 25 ххх.ххх.ххх.215 25 <br>&gt;<br><br>так правильно:<br>&gt;&gt;&gt;packet-tracer input intf2 tcp 10.10.10.200 25 ххх.ххх.ххх.215 25 https://opennet.me/openforum/vsluhforumID6/16170.html#32 Fri, 09 May 2008 09:20:32 GMT &gt;хотя дальше все вроде проходит и экшен в конце Allow но соединение <br>&gt;все равно не устанавливается <br>&gt;<br><br>Пока что всё проходит только в одну сторону. А Вы теперь запустите packet-tracer в обратном направлении. <br>Если, например, с outside в dmz вот так:<br> &gt;&gt;&gt;packet-tracer input outside tcp ххх.ххх.ххх.215 25 ххх.ххх.ххх.210 25 <br><br>То назад будет:<br> &gt;&gt;&gt;packet-tracer input outside tcp 10.10.10.200 25 ххх.ххх.ххх.215 25 <br><br>Просто проверьте пройдет ли через PIX трафик обратно<br> https://opennet.me/openforum/vsluhforumID6/16170.html#31 Fri, 09 May 2008 08:19:31 GMT &gt;&gt;&gt;packet-tracer input outside tcp ххх.ххх.ххх.215 25 ххх.ххх.ххх.210 25 <br>&gt;<br>&gt;Посмотрела, что у Вас адрес xxx.xxx.xxx.210 -- это адрес outside интрфейса: <br>&gt;ip address outside xxx.xxx.xxx.210 255.255.255.224 <br>&gt;<br>&gt;То есть Вы главное согласуйте правила статик нат и ACL <br><br>Вроде согласовал<br><br>access-list 101 extended permit tcp any host ххх.ххх.ххх.210 eq smtp<br>access-group 101 in interface outside<br>static (intf2,outside) tcp interface smtp 10.10.10.200 smtp netmask 255.255.255.<br>255<br><br>вот результат трэйсинга, в нем опять в фазе 2 <br><br>NAT divert to egress interface Ethernet2<br>Untranslate xxx.xxx.xxx.210/25 to 10.10.10.200/25 using netmask 255.255.255.255<br><br>хотя дальше все вроде проходит и экшен в конце Allow но соединение все равно не устанавливается<br><br>Phase: 1<br>Type: FLOW-LOOKUP<br>Subtype:<br>Result: ALLOW<br>Config:<br>Additional Information:<br>Found no matching flow, creating a new flow<br><br>Phase: 2<br>Type: UN-NAT<br>Subtype: static<br>Result: ALLOW<br>Config:<br>static (intf2,outside) tcp interface smtp 10.10.10.200 smtp https://opennet.me/openforum/vsluhforumID6/16170.html#30 Fri, 09 May 2008 08:09:03 GMT &gt;[оверквотинг удален]<br>&gt;Почему Вы обращаетесь на адрес ххх.ххх.ххх.210? <br>&gt;<br>&gt;Последнее правило статик у Вас было такое: <br>&gt;static (intf2,outside) tcp xxx.xxx.xxx.212 smtp 10.10.10.200 smtp netmask 255.255.255.255 0 0 <br>&gt;<br>&gt;То есть Вам надо: <br>&gt;packet-tracer input outside tcp ххх.ххх.ххх.215 25 ххх.ххх.ххх.212 25 <br>&gt;<br>&gt;Но при этом в ACL на outside интерфейсе тоже надо разрешить: <br>&gt;access-list 101 permit tcp any host xxx.xxx.xxx.212 eq smtp <br><br>Поменял статик потому что в иосе 722 встречалась проблема с его работой и решением было поменять в статик адрес на interface (это я в нете вычитал - думал что поможет, но проблема похоже не в этом<br><br>static (intf2,outside) tcp interface smtp 10.10.10.200 smtp netmask 255.255.255.255<br><br><br><br>