forum.opennet.ru - "Cisco Pix-515 и почта" (15)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Cisco Pix-515 и почта"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Cisco Pix-515 и почта"
Сообщение от olmaster (ok) on 08-Дек-05, 10:39 (MSK)
Установили PIX (515Е) и появилась проблема получения почты конфигурация (остальное default): PIX Version 6.3(3) ip address outside 111.11.111.11 255.255.255.0 ip address DMZ 192.168.1.1 255.255.255.0 global (outside) 1 interface nat (DMZ) 1 192.168.1.2 255.255.255.255 0 0 nat (DMZ) 1 192.168.1.3 255.255.255.255 0 0 route outside 0.0.0.0 0.0.0.0 111.11.111.12 1 при этой конфигурации с почтового сервера 192.168.1.3 почта уходит, но извне не приходит. 192.168.1.2 - proxy как прописать правило, чтобы извне почта приходила на почтовый сервер? без PIX все работает (конечно при условии, что адреса 192.* меняются на Internet адреса) Олег
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Cisco Pix-515 и почта, ilya, 10:52 , 08-Дек-05, (1)

Cisco Pix-515 и почта, olmaster, 10:55 , 08-Дек-05, (2)

Cisco Pix-515 и почта, Олег, 11:40 , 08-Дек-05, (3)

Cisco Pix-515 и почта, olmaster, 11:49 , 08-Дек-05, (5)

Cisco Pix-515 и почта, Олег, 12:31 , 08-Дек-05, (8)

Cisco Pix-515 и почта, olmaster, 08:55 , 09-Дек-05, (11)

Cisco Pix-515 и почта, Олег, 10:28 , 12-Дек-05, (12)

Cisco Pix-515 и почта, olmaster, 11:53 , 12-Дек-05, (13)

Cisco Pix-515 и почта, ilya, 11:49 , 08-Дек-05, (4)

Cisco Pix-515 и почта, olmaster, 11:52 , 08-Дек-05, (6)

Cisco Pix-515 и почта, olmaster, 11:55 , 08-Дек-05, (7)

Cisco Pix-515 и почта, Valik, 16:22 , 08-Дек-05, (9)

Cisco Pix-515 и почта, olmaster, 08:50 , 09-Дек-05, (10)

Cisco Pix-515 и почта, Новенький, 07:40 , 13-Дек-05, (14)

Cisco Pix-515 и почта, olmaster, 09:11 , 15-Дек-05, (15)

Сообщения по теме [Сортировка по времени, UBB]

1. "Cisco Pix-515 и почта"

Сообщение от ilya (ok) on 08-Дек-05, 10:52  (MSK)

>Установили PIX (515Е)
>и появилась проблема получения почты
>конфигурация (остальное default):
>
>PIX Version 6.3(3)
>ip address outside 111.11.111.11 255.255.255.0
>ip address DMZ 192.168.1.1 255.255.255.0
>global (outside) 1 interface
>nat (DMZ) 1 192.168.1.2 255.255.255.255 0 0
>nat (DMZ) 1 192.168.1.3 255.255.255.255 0 0
>route outside 0.0.0.0 0.0.0.0 111.11.111.12 1
>при этой конфигурации с почтового сервера 192.168.1.3 почта уходит, но извне не
>приходит.
>192.168.1.2 - proxy
>как прописать правило, чтобы извне почта приходила на почтовый сервер?
>
>без PIX все работает (конечно при условии, что адреса 192.* меняются на
> Internet адреса)
>
>Олег

напишите static
и выключите fixup для smtp.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Cisco Pix-515 и почта"

Сообщение от olmaster (ok) on 08-Дек-05, 10:55  (MSK)

>напишите static
>и выключите fixup для smtp.

делал я такое
static (dmz,outside) 111.11.111.11 192.168.1.3 netmask 255.255.255.255
conduit permit tcp any eq smtp any
и после этого интернет сваливался
и почта тоже не работала
не пойму в чем причина
свободных адресов (интернет) нет
не получается

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Cisco Pix-515 и почта"

Сообщение от Олег (??) on 08-Дек-05, 11:40  (MSK)

>
>>напишите static
>>и выключите fixup для smtp.
>
>
>делал я такое
>static (dmz,outside) 111.11.111.11 192.168.1.3 netmask 255.255.255.255
>conduit permit tcp any eq smtp any
Попробуйте access-list вместо conduit. Статик должен быть.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Cisco Pix-515 и почта"

Сообщение от olmaster (ok) on 08-Дек-05, 11:49  (MSK)

>
>Попробуйте access-list вместо conduit. Статик должен быть.
В том то и дело, что если статику составить, то валится остальное
похоже NAT и статика не дружат между собой.
Статика пишется на один адрес Interface-ный
Скорее всего Access-list без статики нужно прописать
что-то вроде
Access-list acl_out permit tcp 111.11.111.11 eq 25 host 192.168.1.3
Access-gr acl_out in interface outside
или как?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Cisco Pix-515 и почта"

Сообщение от Олег (??) on 08-Дек-05, 12:31  (MSK)

>Access-list acl_out permit tcp 111.11.111.11 eq 25 host 192.168.1.3
>Access-gr acl_out in interface outside
>
>или как?
На адрес, к которому будет обращаться внешний клиент (NATовский ;-)).
Попробуйте команду nat if_name 0 access-list acl_id
В листе управления доступом укажите адрес сервера, который нужно выставить с исп. команды static.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Cisco Pix-515 и почта"

Сообщение от olmaster (??) on 09-Дек-05, 08:55  (MSK)

>На адрес, к которому будет обращаться внешний клиент (NATовский ;-)).
>
>Попробуйте команду nat if_name 0 access-list acl_id
>В листе управления доступом укажите адрес сервера, который нужно выставить с исп.
>команды static.
А без static нельзя?
Чтобы проходило извне по access-list.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Cisco Pix-515 и почта"

Сообщение от Олег (??) on 12-Дек-05, 10:28  (MSK)

>А без static нельзя?
>Чтобы проходило извне по access-list.
Нельзя:
For an external host to initiate traffic to an inside host, a static translation rule needs to exist for the inside host; this can also be done using a nat 0 access-list address translation rule. Without the persistent
translation rule, the translation cannot occur.
You can use the static and access-list commands when you are accessing the interface of a higher security level from an interface of a lower security level; for example, when accessing the inside from a
perimeter or the outside interface.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "Cisco Pix-515 и почта"

Сообщение от olmaster (??) on 12-Дек-05, 11:53  (MSK)

Да, уж.
Будем "лепить" статику
Спасибо
Олег.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Cisco Pix-515 и почта"

Сообщение от ilya (ok) on 08-Дек-05, 11:49  (MSK)

>
>>напишите static
>>и выключите fixup для smtp.
>
>
>делал я такое
>static (dmz,outside) 111.11.111.11 192.168.1.3 netmask 255.255.255.255
>conduit permit tcp any eq smtp any
>
>и после этого интернет сваливался
>и почта тоже не работала
>не пойму в чем причина
>свободных адресов (интернет) нет
>
>не получается

и включите лог на пиксе в консоль.
если что-то не работает то сообщение появится в консоли и будет видно в чем причина.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Cisco Pix-515 и почта"

Сообщение от olmaster (ok) on 08-Дек-05, 11:52  (MSK)

>и включите лог на пиксе в консоль.
>если что-то не работает то сообщение появится в консоли и будет видно
>в чем причина.
log просматриваю на syslog

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Cisco Pix-515 и почта"

Сообщение от olmaster (ok) on 08-Дек-05, 11:55  (MSK)

>>и выключите fixup для smtp.
зачем отключать ?
тогда в чем смысл Firewall PIX?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Cisco Pix-515 и почта"

Сообщение от Valik on 08-Дек-05, 16:22  (MSK)

>
>>>и выключите fixup для smtp.
>зачем отключать ?
>тогда в чем смысл Firewall PIX?
В том, что при включенном
The fixup protocol smtp command enables the Mail Guard feature. This restricts mail
servers to receiving only the seven commands defined in RFC 821, section 4.5.1 (HELO,
MAIL, RCPT, DATA, RSET, NOOP, and QUIT). All other commands are rejected.
И соответсвенно оно не работает с серверами, которые этог не придерживаются

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Cisco Pix-515 и почта"

Сообщение от olmaster (??) on 09-Дек-05, 08:50  (MSK)

>В том, что при включенном
>The fixup protocol smtp command enables the Mail Guard feature. This restricts
>mail
>servers to receiving only the seven commands defined in RFC 821, section
>4.5.1 (HELO,
>MAIL, RCPT, DATA, RSET, NOOP, and QUIT). All other commands are rejected.
>
>
>И соответсвенно оно не работает с серверами, которые этог не придерживаются

Так не честно.
Должна быть конфигурация с включенным fixup protocol smtp
:)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "Cisco Pix-515 и почта"

Сообщение от Новенький on 13-Дек-05, 07:40  (MSK)

У меня робит с fixup protocol smtp   (остальные команды на смтп нафиг не нужны, так что все ок). По теме ДМЗ - граничная область между защищаемой сетью и внешней сетью. Туда, как правило, выводятся различные сервисы, которые д.б. доступны из локальной сети и из внешней сети. Как сделанно у меня:
global (outside) 1 xx.xx.xx.xx  <- IP с которого все будут выходить
global (dmz) 1 192.168.хх.100-192.168.хх.110 <- пул адресов, для "ната" из локалки в ДМЗ
static (dmz,outside) xx.xx.xx.xx 192.168.xx.xx netmask 255.255.255.255 <- СМТП
nat (dmz) 1 192.168.xx.xx 255.255.255.0  <- нат для дмз
access-list dmz-out extended permit tcp any host xx.xx.xx.xx eq 25 <- разрешаем извне ходить на smtp
access-list vip-acl extended permit tcp any host 192.168.xx.xx eq smtp <- изнутри разрешаем по смтп ходить в дмз
Не забудь прописать акцесс группы на интерфейсы outside и inside
access-group dmz-out in interface outside
access-group vip-acl in interface inside
Ну в общем у меня робит окейна.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "Cisco Pix-515 и почта"

Сообщение от olmaster (??) on 15-Дек-05, 09:11  (MSK)

Всем огромное спасибо.
Олег

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Cisco Pix-515 и почта"
Сообщение от ilya (ok) on 08-Дек-05, 10:52 (MSK)
>Установили PIX (515Е) >и появилась проблема получения почты >конфигурация (остальное default): > >PIX Version 6.3(3) >ip address outside 111.11.111.11 255.255.255.0 >ip address DMZ 192.168.1.1 255.255.255.0 >global (outside) 1 interface >nat (DMZ) 1 192.168.1.2 255.255.255.255 0 0 >nat (DMZ) 1 192.168.1.3 255.255.255.255 0 0 >route outside 0.0.0.0 0.0.0.0 111.11.111.12 1 >при этой конфигурации с почтового сервера 192.168.1.3 почта уходит, но извне не >приходит. >192.168.1.2 - proxy >как прописать правило, чтобы извне почта приходила на почтовый сервер? > >без PIX все работает (конечно при условии, что адреса 192.* меняются на > Internet адреса) > >Олег напишите static и выключите fixup для smtp.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Cisco Pix-515 и почта"
	Сообщение от olmaster (ok) on 08-Дек-05, 10:55 (MSK)
	>напишите static >и выключите fixup для smtp. делал я такое static (dmz,outside) 111.11.111.11 192.168.1.3 netmask 255.255.255.255 conduit permit tcp any eq smtp any и после этого интернет сваливался и почта тоже не работала не пойму в чем причина свободных адресов (интернет) нет не получается
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Cisco Pix-515 и почта"
	Сообщение от Олег (??) on 08-Дек-05, 11:40 (MSK)
	> >>напишите static >>и выключите fixup для smtp. > > >делал я такое >static (dmz,outside) 111.11.111.11 192.168.1.3 netmask 255.255.255.255 >conduit permit tcp any eq smtp any Попробуйте access-list вместо conduit. Статик должен быть.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Cisco Pix-515 и почта"
	Сообщение от olmaster (ok) on 08-Дек-05, 11:49 (MSK)
	> >Попробуйте access-list вместо conduit. Статик должен быть. В том то и дело, что если статику составить, то валится остальное похоже NAT и статика не дружат между собой. Статика пишется на один адрес Interface-ный Скорее всего Access-list без статики нужно прописать что-то вроде Access-list acl_out permit tcp 111.11.111.11 eq 25 host 192.168.1.3 Access-gr acl_out in interface outside или как?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "Cisco Pix-515 и почта"
	Сообщение от Олег (??) on 08-Дек-05, 12:31 (MSK)
	>Access-list acl_out permit tcp 111.11.111.11 eq 25 host 192.168.1.3 >Access-gr acl_out in interface outside > >или как? На адрес, к которому будет обращаться внешний клиент (NATовский ;-)). Попробуйте команду nat if_name 0 access-list acl_id В листе управления доступом укажите адрес сервера, который нужно выставить с исп. команды static.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "Cisco Pix-515 и почта"
	Сообщение от olmaster (??) on 09-Дек-05, 08:55 (MSK)
	>На адрес, к которому будет обращаться внешний клиент (NATовский ;-)). > >Попробуйте команду nat if_name 0 access-list acl_id >В листе управления доступом укажите адрес сервера, который нужно выставить с исп. >команды static. А без static нельзя? Чтобы проходило извне по access-list.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "Cisco Pix-515 и почта"
	Сообщение от Олег (??) on 12-Дек-05, 10:28 (MSK)
	>А без static нельзя? >Чтобы проходило извне по access-list. Нельзя: For an external host to initiate traffic to an inside host, a static translation rule needs to exist for the inside host; this can also be done using a nat 0 access-list address translation rule. Without the persistent translation rule, the translation cannot occur. You can use the static and access-list commands when you are accessing the interface of a higher security level from an interface of a lower security level; for example, when accessing the inside from a perimeter or the outside interface.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "Cisco Pix-515 и почта"
	Сообщение от olmaster (??) on 12-Дек-05, 11:53 (MSK)
	Да, уж. Будем "лепить" статику Спасибо Олег.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Cisco Pix-515 и почта"
	Сообщение от ilya (ok) on 08-Дек-05, 11:49 (MSK)
	> >>напишите static >>и выключите fixup для smtp. > > >делал я такое >static (dmz,outside) 111.11.111.11 192.168.1.3 netmask 255.255.255.255 >conduit permit tcp any eq smtp any > >и после этого интернет сваливался >и почта тоже не работала >не пойму в чем причина >свободных адресов (интернет) нет > >не получается и включите лог на пиксе в консоль. если что-то не работает то сообщение появится в консоли и будет видно в чем причина.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Cisco Pix-515 и почта"
	Сообщение от olmaster (ok) on 08-Дек-05, 11:52 (MSK)
	>и включите лог на пиксе в консоль. >если что-то не работает то сообщение появится в консоли и будет видно >в чем причина. log просматриваю на syslog
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Cisco Pix-515 и почта"
	Сообщение от olmaster (ok) on 08-Дек-05, 11:55 (MSK)
	>>и выключите fixup для smtp. зачем отключать ? тогда в чем смысл Firewall PIX?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "Cisco Pix-515 и почта"
	Сообщение от Valik on 08-Дек-05, 16:22 (MSK)
	> >>>и выключите fixup для smtp. >зачем отключать ? >тогда в чем смысл Firewall PIX? В том, что при включенном The fixup protocol smtp command enables the Mail Guard feature. This restricts mail servers to receiving only the seven commands defined in RFC 821, section 4.5.1 (HELO, MAIL, RCPT, DATA, RSET, NOOP, and QUIT). All other commands are rejected. И соответсвенно оно не работает с серверами, которые этог не придерживаются
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "Cisco Pix-515 и почта"
	Сообщение от olmaster (??) on 09-Дек-05, 08:50 (MSK)
	>В том, что при включенном >The fixup protocol smtp command enables the Mail Guard feature. This restricts >mail >servers to receiving only the seven commands defined in RFC 821, section >4.5.1 (HELO, >MAIL, RCPT, DATA, RSET, NOOP, and QUIT). All other commands are rejected. > > >И соответсвенно оно не работает с серверами, которые этог не придерживаются Так не честно. Должна быть конфигурация с включенным fixup protocol smtp :)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "Cisco Pix-515 и почта"
	Сообщение от Новенький on 13-Дек-05, 07:40 (MSK)
	У меня робит с fixup protocol smtp (остальные команды на смтп нафиг не нужны, так что все ок). По теме ДМЗ - граничная область между защищаемой сетью и внешней сетью. Туда, как правило, выводятся различные сервисы, которые д.б. доступны из локальной сети и из внешней сети. Как сделанно у меня: global (outside) 1 xx.xx.xx.xx <- IP с которого все будут выходить global (dmz) 1 192.168.хх.100-192.168.хх.110 <- пул адресов, для "ната" из локалки в ДМЗ static (dmz,outside) xx.xx.xx.xx 192.168.xx.xx netmask 255.255.255.255 <- СМТП nat (dmz) 1 192.168.xx.xx 255.255.255.0 <- нат для дмз access-list dmz-out extended permit tcp any host xx.xx.xx.xx eq 25 <- разрешаем извне ходить на smtp access-list vip-acl extended permit tcp any host 192.168.xx.xx eq smtp <- изнутри разрешаем по смтп ходить в дмз Не забудь прописать акцесс группы на интерфейсы outside и inside access-group dmz-out in interface outside access-group vip-acl in interface inside Ну в общем у меня робит окейна.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	15. "Cisco Pix-515 и почта"
	Сообщение от olmaster (??) on 15-Дек-05, 09:11 (MSK)
	Всем огромное спасибо. Олег
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]