форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Cisco PIX не пускает почту из WAN"

Сообщение от Nikita99 (ok) on 13-Мрт-07, 12:51

Подскажите, в чем я не прав. Все сделал, как на cisco.com советуют. Пользователи в Интернет ходят, почта с внутреннего Exchange сервера на mail.ru доходит. Если отправлять с mail.ru обратно, то ничего не приходит. Вот конфиг: 192.168.1.0 - LAN 192.168.1.5 - Exchange Server 2000 (внешний - x.x.x.170) PIX Version 6.3(4) interface ethernet0 auto interface ethernet1 auto nameif ethernet0 outside security0 nameif ethernet1 inside security100 clock timezone MSK/MSD 3 clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00 fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol icmp error fixup protocol ils 389 fixup protocol pptp 1723 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 no fixup protocol smtp 25 fixup protocol snmp 161 fixup protocol sqlnet 1521 fixup protocol tftp 69 no names access-list compiled access-list 100 permit ip any any access-list 100 permit tcp any any access-list 100 permit udp any any access-list 100 permit icmp any any access-list 100 permit tcp any host x.x.x.170 eq smtp pager lines 24 logging trap informational logging facility 23 logging host inside 192.168.1.25 6/1470 icmp permit any inside mtu outside 1500 mtu inside 1500 ip address outside x.x.x.167 255.255.255.248 ip address inside 192.168.1.254 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm location 192.168.10.25 255.255.255.255 inside pdm location 192.168.10.5 255.255.255.255 inside pdm location x.x.x.170 255.255.255.255 outside pdm logging informational 100 pdm history enable arp timeout 14400 global (outside) 1 interface global (inside) 2 interface nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (inside,outside) x.x.x.170 192.168.1.5 netmask 255.255.255.255 0 0 access-group 100 in interface outside routing interface outside routing interface inside rip outside default version 1 rip inside default version 1 route outside 0.0.0.0 0.0.0.0 x.x.x.165 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:10:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:10:00 timeout uauth 0:10:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local http server enable http 192.168.1.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps tftp-server inside 192.168.1.25 config no floodguard enable sysopt connection tcpmss 0 isakmp enable outside isakmp enable inside isakmp policy 10 authentication pre-share isakmp policy 10 encryption des isakmp policy 10 hash sha isakmp policy 10 group 1 isakmp policy 10 lifetime 86400 telnet 192.168.1.0 255.255.255.0 inside telnet timeout 60 ssh 192.168.1.0 255.255.255.0 inside ssh timeout 60 management-access inside console timeout 0 vpdn username tns-pptp1 password ********* vpdn enable outside vpdn enable inside terminal width 80 : end

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Cisco PIX не пускает почту из WAN"

Сообщение от rauf (ok) on 13-Мрт-07, 23:32

Lucshe zdelat        nat (inside) 1 192.168.1.0 255.255.255.0                      fixup protocol smtp 25 i ubirat iz konfiga  global (inside) 2 interface

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Cisco PIX не пускает почту из WAN"
	Сообщение от Nikita99 (ok) on 14-Мрт-07, 08:59
	Спасибо. Поправил. Но почта все равно не приходит :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Cisco PIX не пускает почту из WAN"
	Сообщение от Rauf (??) on 14-Мрт-07, 11:56
	> >Спасибо. Поправил. Но почта все равно не приходит :( Poprobuy tak: static (inside,outside) tcp interface 25 192.168.1.5 25 netmask 255.255.255.255 0 0 static (inside,outside) udp interface 53 DNS IP ADDRESS netmask 255.255.255.255 0 0 access-list 100 permit udp any host DNS IP ADDRESS eq 53 access-group 100 in interface outside patom esho raz prover  no fixup protocol smtp 25
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Cisco PIX не пускает почту из WAN"
	Сообщение от Nikita99 (??) on 15-Мрт-07, 10:06
	>Poprobuy tak: > >static (inside,outside) tcp interface 25 192.168.1.5 25 netmask 255.255.255.255 0 0 >static (inside,outside) udp interface 53 DNS IP ADDRESS netmask 255.255.255.255 0 0 > >access-list 100 permit udp any host DNS IP ADDRESS eq 53 >access-group 100 in interface outside > >patom esho raz prover  no fixup protocol smtp 25 Т.е. вместо static (inside,outside) х.х.х.170 192.168.1.5 netmask 255.255.255.255 0 0 прописать static (inside,outside) tcp х.х.х.170 smtp 192.168.1.5 smtp netmask 255.255.255.255 0 0 DNS IP ADDRESS  - имеется ввиду внутренний DNS, а зачем? У меня есть access-list 100 permit udp any any, для чего access-list 100 permit udp any host DNS IP ADDRESS eq 53 ... все прописал, fixup protocol smtp 25 без no, почта не приходит :((
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Cisco PIX не пускает почту из WAN"
	Сообщение от Rauf (??) on 15-Мрт-07, 16:05
	S  access listami  vse ponyatno . Esli ubrat PIX vse rabotaet ?  Naceus DNS -om probemi netu tam. Ya ne rabotal pixom. Mojet utebya software , buggy software . Ya v lyubom slucae rekomenduyu  tebe   ustanovit ili  obnavit bolee novoyu veriyu software .  Esli  ne  pamojit. To steray konfig i zanogo ... igray PIx firevalom. Mojit i povezet :)) Pix i exchange ne fsegda drujyat
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Cisco PIX не пускает почту из WAN"
	Сообщение от Nikita99 (??) on 16-Мрт-07, 18:03
	>S  access listami  vse ponyatno . > >Esli ubrat PIX vse rabotaet ?  Naceus DNS -om probemi netu >tam. > >Ya ne rabotal pixom. Mojet utebya software , buggy software . > >Ya v lyubom slucae rekomenduyu  tebe   ustanovit ili   >obnavit bolee novoyu veriyu software .  Esli  ne   >pamojit. To steray konfig i zanogo ... igray PIx firevalom. > >Mojit i povezet :)) > >Pix i exchange ne fsegda drujyat Без PIX все работает. Конфиг чищу - он был в 2 раза больше :))
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Cisco PIX не пускает почту из WAN"

Сообщение от Nick (??) on 15-Мрт-07, 19:13

Попробуйте откуда-либо снаружи соединиться на 25-й порт: telnet x.x.x.170 25 1) Если неудачно, то получите сообщение, что коннект невозможен. 2) Если удачно, то напишут что-либо наподобие 220 x.x.x.170 Microsoft ESMTP .... Во втором случае - можно воспользоваться советами от майкрософт http://support.microsoft.com/kb/320027/ru В первом случае - на pix, возможно, неправильные настройки, и еще раз следует внимательно изучить конфиг. Можно попробовать командой на pix-е debug packet outside dst x.x.x.170 отследить, а приходят ли вообще пакеты на адрес почтового сервера?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Cisco PIX не пускает почту из WAN"
	Сообщение от Nikita99 (??) on 16-Мрт-07, 18:09
	>Попробуйте откуда-либо снаружи соединиться на 25-й порт: >telnet x.x.x.170 25 > >1) Если неудачно, то получите сообщение, что коннект невозможен. > >2) Если удачно, то напишут что-либо наподобие >220 x.x.x.170 Microsoft ESMTP .... > >Во втором случае - можно воспользоваться советами от майкрософт >http://support.microsoft.com/kb/320027/ru > >В первом случае - на pix, возможно, неправильные настройки, >и еще раз следует внимательно изучить конфиг. >Можно попробовать командой на pix-е debug packet outside dst x.x.x.170 отследить, а >приходят ли вообще пакеты на адрес почтового сервера? Когда обращаюсь по telnet, то вроде подключаюсь и не вижу ничего, по любой клавише – выбрасывает. На http://support.microsoft.com/kb/320027/ru тоже смотрел, все, как там советуют делал. debug packet outside dst x.x.x.170 – попробую, спасибо за подсказку.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Cisco PIX не пускает почту из WAN"
	Сообщение от Nikita99 (??) on 19-Мрт-07, 17:49
	>Можно попробовать командой на pix-е debug packet outside dst x.x.x.170 отследить, а >приходят ли вообще пакеты на адрес почтового сервера? На это пишет --------- PACKET --------- -- IP -- 195.y.y.y ==>     x.x.x.170         ver = 0x4       hlen = 0x5      tos = 0x0       tlen = 0x28         id = 0xa7aa     flags = 0x40    frag off=0x0         ttl = 0x77      proto=0x6       chksum = 0x614f         -- TCP --                 source port = 0xe1a9    dest port = 0x19ack                 seq = 0x4c668773                 ack = 0x25a2757                 hlen = 0x5              window = 0xfc00                 checksum = 0xd9af       urg = 0x0         -- DATA --                 00000020:                         00 00 00 00 00 00 2e     |          ....... --------- END OF PACKET --------- --------- PACKET --------- -- IP -- 195.y.y.y ==>     x.x.x.170         ver = 0x4       hlen = 0x5      tos = 0x0       tlen = 0x28         id = 0xa7ab     flags = 0x40    frag off=0x0         ttl = 0x77      proto=0x6       chksum = 0x614e         -- TCP --                 source port = 0xe1a9    dest port = 0x19ack fin                 seq = 0x4c668773                 ack = 0x25a2757                 hlen = 0x5              window = 0xfc00                 checksum = 0xd9ae       urg = 0x0         -- DATA --                 00000020:                         00 00 00 00 00 00 ec     |          ....... --------- END OF PACKET --------- Он это пишет даже если почтовый сервер выключен...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Cisco PIX не пускает почту из WAN"
	Сообщение от intellegent on 22-Мрт-07, 10:24
	>>Можно попробовать командой на pix-е debug packet outside dst x.x.x.170 отследить, а >>приходят ли вообще пакеты на адрес почтового сервера? > >На это пишет > >--------- PACKET --------- > >-- IP -- >195.y.y.y ==>     x.x.x.170 > >        ver = 0x4   >     hlen = 0x5     >  tos = 0x0       >tlen = 0x28 >        id = 0xa7aa   >   flags = 0x40    frag off=0x0 > >        ttl = 0x77   >    proto=0x6       >chksum = 0x614f > >        -- TCP -- >             >    source port = 0xe1a9     >dest port = 0x19ack > >             >    seq = 0x4c668773 >             >    ack = 0x25a2757 >             >    hlen = 0x5     >         window = >0xfc00 >             >    checksum = 0xd9af     >  urg = 0x0 >        -- DATA -- >             >    00000020:       >           >       00 00 00 00 >00 00 2e     |     >      ....... > >--------- END OF PACKET --------- > >--------- PACKET --------- > >-- IP -- >195.y.y.y ==>     x.x.x.170 > >        ver = 0x4   >     hlen = 0x5     >  tos = 0x0       >tlen = 0x28 >        id = 0xa7ab   >   flags = 0x40    frag off=0x0 > >        ttl = 0x77   >    proto=0x6       >chksum = 0x614e > >        -- TCP -- >             >    source port = 0xe1a9     >dest port = 0x19ack fin > >             >    seq = 0x4c668773 >             >    ack = 0x25a2757 >             >    hlen = 0x5     >         window = >0xfc00 >             >    checksum = 0xd9ae     >  urg = 0x0 >        -- DATA -- >             >    00000020:       >           >       00 00 00 00 >00 00 ec     |     >      ....... > >--------- END OF PACKET --------- > > >Он это пишет даже если почтовый сервер выключен... А ты что кажет команда show xlate? И еще про твои ACL - твоя строчка в отношении smtp ничего не решает, т.к. двумя строчками выше ты разрешил любые TCP соединения. PIX просматривает ACL построчно при первом совпадении просмотр ACL прекращается.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Cisco PIX не пускает почту из WAN"
	Сообщение от Nikita99 (??) on 10-Апр-07, 12:08
	Может у кого будет время и желание заработать заедет ко мне и настроит это железо. Я нахожусь в СПб, начальство сказало, что 100$ за эту работу даст…
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Cisco PIX не пускает почту из WAN"
	Сообщение от lomo on 10-Апр-07, 19:00
	Правильный подход ;) Можно заодно и 6.3(5) прожечь. Как с вами связаться?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Cisco PIX не пускает почту из WAN"
	Сообщение от Nikita99 (??) on 11-Апр-07, 14:07
	>Правильный подход ;) >Можно заодно и 6.3(5) прожечь. > >Как с вами связаться? Напишите мне, адрес необходимо подправить.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Cisco PIX не пускает почту из WAN"
	Сообщение от Александр (??) on 17-Дек-07, 21:57
	>Может у кого будет время и желание заработать заедет ко мне и >настроит это железо. Я нахожусь в СПб, начальство сказало, что 100$ >за эту работу даст… И как, разрешилась проблема? у меня такая же ситуация, не получается получить почту на exchange.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]