forum.opennet.ru

Составление сообщения

Исходное сообщение

"Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :("
Отправлено Peter, 19-Фев-05 11:22

Уважаемые Гуру помогите разрешить вот такую задачку:
как было раньше: есть Cisco 2600 на внешнем интерфейсе 3-и айпишника, соотвественно один гейт, один мейл и один используется для исходящих соединений народа ходящего в и-нет, внутри сети за Циской стоял мейл сервер на который пробрасывался весь трафик приходящий на мейл айпишник т.е. ip nat inside source static 192.168.4.4 217.21.229.122 c соотв. настроенными ACL
access-list 100 permit tcp any host 217.21.229.122 established
access-list 100 permit tcp any host 217.21.229.122 eq domain
access-list 100 permit udp any host 217.21.229.122 eq domain
access-list 100 permit udp any eq domain host 217.21.229.122 gt 1024
access-list 100 permit tcp any host 217.21.229.122 eq smtp
access-list 100 deny   ip any host 217.21.229.122 log
access-list 100 permit ip any any
Все работало естественно без прооблем.
Потом купили Cisco pix firewall и поставили за циской 26-ой, соответственно перенесли майл сервер в DMZ Пикса, все настроил кроме входящих соединений на майл сервер уже все голову сломал :(
Сделал так: на Циске 2600 написал: -- ip nat inside source static 192.168.40.2 (outside pix) 217.21.229.122
на пиксе System IP Addresses:
        ip address outside 192.168.40.2 255.255.255.0
        ip address inside 192.168.50.1 255.255.255.0
        ip address dmz 192.168.4.1 255.255.255.0
соотвественно прописал static (dmz,outside) tcp 192.168.40.2 25 192.168.4.4 25
соотв прописал ACL на эти соединения
access-list dmz_access_in permit tcp host mserv eq smtp any
access-list dmz_access_in permit tcp host mserv any eq smtp
- не работает, сервер не виден снаружи :(
Что делаю не так есть какие нибудь мысли ? Может я правда лишнего нагородил или недописал чего? Еще правда прописывал на 2600 Циске так :
ip nat inside source static tcp 192.168.40.2 25 217.21.229.122 25 extendable - не видит и все тут :(
еще кусочек конфига пикса
global (outside) 1 192.168.40.10-192.168.40.254 netmask 255.255.255.0
global (dmz) 1 192.168.4.128-192.168.4.254 netmask 255.255.255.0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
nat (dmz) 1 192.168.4.0 255.255.255.0 0 0
static (dmz,outside) tcp 192.168.40.2 smtp mserv smtp netmask 255.255.255.255 0 0
В консоле при отладке выдает что TCP connection discarded .... smtp
Вот такие дела неутешительные ... А в понедельник должно все работать ...
Всем спасибо большое.

Исходное сообщение
"Cisco 2600 + PIX 515 - пернос mail сервера в DMZ проблема :(" Отправлено Peter, 19-Фев-05 11:22
Уважаемые Гуру помогите разрешить вот такую задачку: как было раньше: есть Cisco 2600 на внешнем интерфейсе 3-и айпишника, соотвественно один гейт, один мейл и один используется для исходящих соединений народа ходящего в и-нет, внутри сети за Циской стоял мейл сервер на который пробрасывался весь трафик приходящий на мейл айпишник т.е. ip nat inside source static 192.168.4.4 217.21.229.122 c соотв. настроенными ACL access-list 100 permit tcp any host 217.21.229.122 established access-list 100 permit tcp any host 217.21.229.122 eq domain access-list 100 permit udp any host 217.21.229.122 eq domain access-list 100 permit udp any eq domain host 217.21.229.122 gt 1024 access-list 100 permit tcp any host 217.21.229.122 eq smtp access-list 100 deny ip any host 217.21.229.122 log access-list 100 permit ip any any Все работало естественно без прооблем. Потом купили Cisco pix firewall и поставили за циской 26-ой, соответственно перенесли майл сервер в DMZ Пикса, все настроил кроме входящих соединений на майл сервер уже все голову сломал :( Сделал так: на Циске 2600 написал: -- ip nat inside source static 192.168.40.2 (outside pix) 217.21.229.122 на пиксе System IP Addresses: ip address outside 192.168.40.2 255.255.255.0 ip address inside 192.168.50.1 255.255.255.0 ip address dmz 192.168.4.1 255.255.255.0 соотвественно прописал static (dmz,outside) tcp 192.168.40.2 25 192.168.4.4 25 соотв прописал ACL на эти соединения access-list dmz_access_in permit tcp host mserv eq smtp any access-list dmz_access_in permit tcp host mserv any eq smtp - не работает, сервер не виден снаружи :( Что делаю не так есть какие нибудь мысли ? Может я правда лишнего нагородил или недописал чего? Еще правда прописывал на 2600 Циске так : ip nat inside source static tcp 192.168.40.2 25 217.21.229.122 25 extendable - не видит и все тут :( еще кусочек конфига пикса global (outside) 1 192.168.40.10-192.168.40.254 netmask 255.255.255.0 global (dmz) 1 192.168.4.128-192.168.4.254 netmask 255.255.255.0 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 nat (dmz) 1 192.168.4.0 255.255.255.0 0 0 static (dmz,outside) tcp 192.168.40.2 smtp mserv smtp netmask 255.255.255.255 0 0 В консоле при отладке выдает что TCP connection discarded .... smtp Вот такие дела неутешительные ... А в понедельник должно все работать ... Всем спасибо большое.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Уважаемые Гуру помогите разрешить вот такую задачку:

> как было раньше: есть Cisco 2600 на внешнем интерфейсе 3-и айпишника, соотвественно 
> один гейт, один мейл и один используется для исходящих соединений народа 
> ходящего в и-нет, внутри сети за Циской стоял мейл сервер на 
> который пробрасывался весь трафик приходящий на мейл айпишник т.е. ip nat 
> inside source static 192.168.4.4 217.21.229.122 c соотв. настроенными ACL 
> access-list 100 permit tcp any host 217.21.229.122 established 
> access-list 100 permit tcp any host 217.21.229.122 eq domain 
> access-list 100 permit udp any host 217.21.229.122 eq domain 
> access-list 100 permit udp any eq domain host 217.21.229.122 gt 1024 
> access-list 100 permit tcp any host 217.21.229.122 eq smtp 
> access-list 100 deny   ip any host 217.21.229.122 log 
> access-list 100 permit ip any any

> Все работало естественно без прооблем.

> Потом купили Cisco pix firewall и поставили за циской 26-ой, соответственно перенесли 
> майл сервер в DMZ Пикса, все настроил кроме входящих соединений на 
> майл сервер уже все голову сломал :( 
> Сделал так: на Циске 2600 написал: -- ip nat inside source static 
> 192.168.40.2 (outside pix) 217.21.229.122

> на пиксе System IP Addresses: 
>         ip address outside 192.168.40.2 
> 255.255.255.0 
>         ip address inside 192.168.50.1 
> 255.255.255.0 
>         ip address dmz 192.168.4.1 
> 255.255.255.0 
> соотвественно прописал static (dmz,outside) tcp 192.168.40.2 25 192.168.4.4 25 
> соотв прописал ACL на эти соединения 
> access-list dmz_access_in permit tcp host mserv eq smtp any 
> access-list dmz_access_in permit tcp host mserv any eq smtp 
>  - не работает, сервер не виден снаружи :(

> Что делаю не так есть какие нибудь мысли ? Может я правда 
> лишнего нагородил или недописал чего? Еще правда прописывал на 2600 Циске 
> так : 
> ip nat inside source static tcp 192.168.40.2 25 217.21.229.122 25 extendable - 
> не видит и все тут :(

> еще кусочек конфига пикса 
> global (outside) 1 192.168.40.10-192.168.40.254 netmask 255.255.255.0 
> global (dmz) 1 192.168.4.128-192.168.4.254 netmask 255.255.255.0 
> nat (inside) 1 0.0.0.0 0.0.0.0 0 0 
> nat (dmz) 1 192.168.4.0 255.255.255.0 0 0 
> static (dmz,outside) tcp 192.168.40.2 smtp mserv smtp netmask 255.255.255.255 0 0

> В консоле при отладке выдает что TCP connection discarded .... smtp

> Вот такие дела неутешительные ... А в понедельник должно все работать ...

> Всем спасибо большое.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру