форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :("
Сообщение от Peter (??) on 19-Фев-05, 11:22  (MSK)
Уважаемые Гуру помогите разрешить вот такую задачку: как было раньше: есть Cisco 2600 на внешнем интерфейсе 3-и айпишника, соотвественно один гейт, один мейл и один используется для исходящих соединений народа ходящего в и-нет, внутри сети за Циской стоял мейл сервер на который пробрасывался весь трафик приходящий на мейл айпишник т.е. ip nat inside source static 192.168.4.4 217.21.229.122 c соотв. настроенными ACL access-list 100 permit tcp any host 217.21.229.122 established access-list 100 permit tcp any host 217.21.229.122 eq domain access-list 100 permit udp any host 217.21.229.122 eq domain access-list 100 permit udp any eq domain host 217.21.229.122 gt 1024 access-list 100 permit tcp any host 217.21.229.122 eq smtp access-list 100 deny   ip any host 217.21.229.122 log access-list 100 permit ip any any Все работало естественно без прооблем. Потом купили Cisco pix firewall и поставили за циской 26-ой, соответственно перенесли майл сервер в DMZ Пикса, все настроил кроме входящих соединений на майл сервер уже все голову сломал :( Сделал так: на Циске 2600 написал: -- ip nat inside source static 192.168.40.2 (outside pix) 217.21.229.122 на пиксе System IP Addresses:         ip address outside 192.168.40.2 255.255.255.0         ip address inside 192.168.50.1 255.255.255.0         ip address dmz 192.168.4.1 255.255.255.0 соотвественно прописал static (dmz,outside) tcp 192.168.40.2 25 192.168.4.4 25 соотв прописал ACL на эти соединения access-list dmz_access_in permit tcp host mserv eq smtp any access-list dmz_access_in permit tcp host mserv any eq smtp - не работает, сервер не виден снаружи :( Что делаю не так есть какие нибудь мысли ? Может я правда лишнего нагородил или недописал чего? Еще правда прописывал на 2600 Циске так : ip nat inside source static tcp 192.168.40.2 25 217.21.229.122 25 extendable - не видит и все тут :( еще кусочек конфига пикса global (outside) 1 192.168.40.10-192.168.40.254 netmask 255.255.255.0 global (dmz) 1 192.168.4.128-192.168.4.254 netmask 255.255.255.0 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 nat (dmz) 1 192.168.4.0 255.255.255.0 0 0 static (dmz,outside) tcp 192.168.40.2 smtp mserv smtp netmask 255.255.255.255 0 0 В консоле при отладке выдает что TCP connection discarded .... smtp Вот такие дела неутешительные ... А в понедельник должно все работать ... Всем спасибо большое.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :("
Сообщение от sh_ (??) on 19-Фев-05, 18:55  (MSK)
acl на outside access-list out_access_in permit tcp any host mserv eq smtp
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :("
	Сообщение от Peter (??) on 19-Фев-05, 20:46  (MSK)
	>acl на outside access-list out_access_in permit tcp any host mserv eq smtp > Согласен с Вами - недоглядел, прописал, все равно в консоле пишет след. строчки: 710005 TCP request discarded from 216.96.108.34/1522 to outside:192.168.40.2/smtp 710005 TCP request discarded from 81.49.132.119/2829 to outside:192.168.40.2/smtp и т.д. т.е. все ломятся на наш сервер, а соединения отвергаются, из-за чего такое может быть? Вроде все прописано :( Спасибо.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :("
	Сообщение от Peter (??) on 19-Фев-05, 23:02  (MSK)
	:( Бред какой то, PIX отчаенно не пускает пакеты в ДМЗ от других почтовых серверов :( все вроде по логике правильно написано, пакет приходит на внешний интерфейс Кошки 2600-ой (217.21.229.122) далее НАТ-ится на outside PIX-а "ip nat inside source static 192.168.40.2 217.21.229.122" (192.168.40.2 - outside pix interface), после чего все пакеты должны по Static Nat заворачиваться на mserv (192.168.4.4) через DMZ interface PIX-а (192.168.4.1) "static (dmz,outside) tcp 192.168.40.2 smtp mserv smtp netmask 255.255.255.255 0 0" по разрешающей в соотв. ACL записи "access-list outside_access_in permit tcp any host mserv eq smtp". Пакеты то доходят до outside interface pix-a (192.168.40.2) и об него как об стену разбиваются :( Чего ж еще ему не хватает ? P.S. еще обратил внимание что и с нашего почтовика ничего не уходит во внешний мир :( Однако из внутренней сети на почтовик в ДМЗ-зоне дохожу без проблем и забираю с него и отправляю... Толкните в нужном направлении куда копать, а то так шарики за ролики заедут :(
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :("
	Сообщение от Peter (??) on 21-Фев-05, 15:26  (MSK)
	.... И вообще корректно ли то, что я пытаюсь сделать ??
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :("
	Сообщение от Tiam on 22-Фев-05, 15:35  (MSK)
	> >.... И вообще корректно ли то, что я пытаюсь сделать ?? Вот такие куски: Это пикс global (outside) 1 <внешний ip> netmask 255.255.255.х nat (inside) 1 10.203.1.0 255.255.255.0 0 0 static (dmz,outside) <внешний ip> <внутренний ip почтовика в DMZ> netmask 255.255.255.255 0 0 static (inside,dmz) 10.203.1.0 10.203.1.0 netmask 255.255.255.0 0 0 Это роутер ip route 0.0.0.0 0.0.0.0 (адрес сериала провайдера) ip route <внешний диаппазон вашей сети> 255.255.255.x <ip outside интерфейса пикса> Если не понятно написал, то в мыло... tiam2000 at mail dot ru
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :("
	Сообщение от Peter (??) on 24-Фев-05, 14:04  (MSK)
	спасибо, хоть один человек ответил, сейчас в мыло отпишу, еще раз спасибо.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :("
	Сообщение от Rod (??) on 24-Фев-05, 14:34  (MSK)
	>спасибо, хоть один человек ответил, сейчас в мыло отпишу, еще раз спасибо. > Nu chto? Poboroli problemu?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :("
	Сообщение от Peter (??) on 24-Фев-05, 15:35  (MSK)
	>>спасибо, хоть один человек ответил, сейчас в мыло отпишу, еще раз спасибо. >> > >Nu chto? Poboroli problemu? Пока нет, как только сеть освободится от пользователей - буду пробовать, хотя все еще не одназначно.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :("
	Сообщение от Rodion (ok) on 24-Фев-05, 16:55  (MSK)
	>>>спасибо, хоть один человек ответил, сейчас в мыло отпишу, еще раз спасибо. >>> >> >>Nu chto? Poboroli problemu? > >Пока нет, как только сеть освободится от пользователей - буду пробовать, хотя >все еще не одназначно. Prosmotrel vse -na perviy vzglad vse logichno...vozmogno - izlishniy kommentariy, no:na PIX nadeyus est': access-group out_access_in in interface outside ?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :("
	Сообщение от Peter (??) on 26-Фев-05, 18:43  (MSK)
	>Prosmotrel vse -na perviy vzglad vse logichno...vozmogno - izlishniy kommentariy, no:na PIX >nadeyus est': >access-group out_access_in in interface outside ? Да, конечно есть access-list outside_access_in permit tcp any host mserv eq smtp access-list outside_access_in permit tcp any any eq domain access-list outside_access_in permit udp any any eq domain
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.