Cuestión : Edición de Cisco ASA NAT

Disposición: el

There es un cable proveyó del dispositivo del módem las direcciones siguientes: interfaz del
Internal: interfaz del
External de 10.1.10.1: El interfaz interno de XXX.XXX.147.33

The está conectado directo con el interfaz externo de un interfaz externo de ASA5505

ASA5505: interfaz interno del
ASA5505 de 10.1.10.2: el servidor del intercambio del

An de 192.168.1.1 (SBS) se está sentando en 192.168.1.2, y alista para recibir mail.

RDP y otros protocolos están funcionando muy bien, pero el smtp no es.  Todo el flujo del smtp viene con Postini (Google) para la higiene.  El smtp sale un SYN y épocas la conexión.  El config esterilizado está aquí: config
del

ciscoasa#: Saved
: Escrito por enable_15 en el 12:56: 23.279 ¡EDT lunes
del 21 de junio de 2010! ¡versión 8.2 (2)
del
ASA! ¡interfaz de la descripción XXX del encrypted
names
name 192.168.1.250 XXX-XXX-SBS del encrypted
passwd de la contraseña del ciscoasa
domain-name/>enable del
hostname en interfaz de la descripción XXX de XXX-SBS
name 192.168.1.203 XXX-XXXAPP01 en interfaz de la descripción XXX de XXXAPP01
name 192.168.1.204 XXX-XXXAPP02 en la descripción XXXAPP02 Server
de la descripción XXXAPP01 Server
name 192.168.1.4 XXXAPP02 de XXXAPP02
name 192.168.1.3 XXXAPP01! ¡null
de la autentificación del OSPF del coste 10
del OSPF del
de 192.168.1.1 255.255.255.0 del IP address del both
del servidor de dns de la actualización del cliente del DHCP del
de 192.168.1.2 del hostname de la actualización de los ddns del seguridad-nivel 100
del inside
del nameif del
interface Vlan1
! ¡coste 10
del OSPF del
de 10.1.10.2 255.255.255.0 del IP address del seguridad-nivel 0
del outside
del nameif del
interface Vlan2
! ¡shutdown
del
interface Vlan3
ningún coste delantero 10
del OSPF del dhcp
del IP address del seguridad-nivel 50
del dmz
del nameif del interfaz Vlan1
! ¡acceso 2
del switchport del
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!sistema disk0 del
boot: sistema disk0 de /asa822-k8.bin
boot: permiso extendido outside_access_in inter-interface
access-list de 74.125.149.0 255.255.255.0 del red-objeto del
de 64.18.0.0 255.255.240.0 del red-objeto del
de 207.126.144.0 255.255.240.0 del red-objeto de Postini
de la red del eq 3389
object-group del puerto-objeto del tcp
del RDP del servicio del permiso intra-interface
object-group del permiso/>same-security-traffic del Domain Name ifi.local
same-security-traffic de DefaultDNS
del servidor-grupo del inside
dns de las dominio-operaciones de búsqueda del recurring
dns del verano EDT del EST -5
clock del timezone del passive
clock del modo de /asa724-k8.bin
ftp cualquie cualquie permiso extendido outside_access_in tcp del eq 3389
access-list cualquie permiso extendido outside_access_in tcp del smtp
access-list del eq del anfitrión XXX.XXX.147.33 cualquie permiso extendido outside_access_in tcp del https
access-list del eq del anfitrión XXX.XXX.147.33 cualquie permiso extendido outside_access_in tcp del https
access-list del eq del anfitrión XXX.XXX.147.34 cualquie permiso extendido outside_access_in tcp del eq 444
access-list del anfitrión XXX.XXX.147.33 cualquie permiso extendido outside_access_in tcp del eq 500
access-list del anfitrión XXX.XXX.147.33 cualquie anfitrión XXX.XXX.147.33 el permiso extendido outside_access_in tcp del eq 1701
access-list cualquier permiso extendido outside_access_in tcp del pptp
access-list del eq del anfitrión XXX.XXX.147.33 cualquier permiso extendido outside_access_in tcp del eq 4125
access-list del anfitrión XXX.XXX.147.33 cualquier UDP extendido outside_access_in del permiso del eq 4500
access-list del anfitrión XXX.XXX.147.33 cualquier permiso extendido outside_access_in tcp del ntp
access-list del eq del anfitrión XXX.XXX.147.33 cualquier eq 987
pager del anfitrión XXX.XXX.147.33 alinea el informational
mtu del asdm del enable
logging de 24
logging dentro de 1500
mtu fuera de la piscina local RemoteUserAccess 192.168.1.50 del dmz 1500
ip de 1500
mtu - la imagen inalcanzable disk0 del estallar-tamaño 1
asdm del tarifa-límite 1 del
icmp de 255.0.0.0 de la máscara de 192.168.1.59: descanso 14400
global del enable
arp de la historia de /asdm-625-53.bin
asdm (afuera) 1 interface
nat (adentro) 1 outside_access_in del
access-group de 255.255.255.255 del netmask del
static (adentro, afuera) XXX.XXX.147.34 XXX-XXX-SBS de 255.255.255.255 del netmask del
static (adentro, afuera) XXX.XXX.147.33 192.168.1.2 de 0.0.0.0 0.0.0.0 en el outside
route del interfaz fuera del 3:00 del xlate de 0.0.0.0 0.0.0.0 10.1.10.1 1
timeout: 1:00 de las conec de 00
timeout: 00 0:10 semicerrados: 00 0:02 del UDP: 00 0:00 del ICMP: 0:10 del sunrpc de 02
timeout: 00 0:05 h323: 00 1:00 h225: 00 0:05 del mgcp: 00 0:05 de la mgcp-palmadita: 0:30 del sorbo de 00
timeout: 00 0:02 del sip_media: 00 sorber-invitan a 0:03: 00 sorber-desconectan 0:02: 0:02 de los sorber-provisional-medios de 00
timeout: 00 0:05 del uauth: 00 0:01 del tcp-poder-nuevo ensamble del absolute
timeout: el contact
snmp-server del SNMP-servidor del location
no del SNMP-servidor del inside
no del enable
http 192.168.1.0 255.255.255.0 del servidor de LOCAL
http de la consola del telnet de la autentificación de 00
dynamic-access-policy-record DfltAccessPolicy
aaa permite trampas que la conexión del sysopt del coldstart
no del linkdown de la conexión de la autentificación del SNMP permite-vpn
crypto del noproxyarp del outside
sysopt del noproxyarp del inside
sysopt del noproxyarp de/>sysopt transformar-fijó pfs determinados del outside_dyn_map 20 del dinámico-mapa de los kilobytes 4608000
crypto del curso de la vida de la seguridad-asociación del ipsec de los segundos 28800
crypto del curso de la vida de la seguridad-asociación del ipsec del esp-sha-hmac
crypto de ESP-3DES-SHA esp-3des el sistema del outside_dyn_map 20 del dinámico-mapa de group1
crypto transformar-fijó pfs determinados del outside_dyn_map 40 del dinámico-mapa de ESP-3DES-SHA
crypto el sistema del outside_dyn_map 40 del dinámico-mapa de group1
crypto transformar-fijó el ipsec-isakmp del outside_map 65535 del mapa de ESP-3DES-SHA
crypto el isakmp dinámico del outside
crypto del interfaz del outside_map del mapa del outside_dyn_map
crypto permite el grupo del sha
del picadillo de la encripción 3des
del pre-share
de la autentificación de la política 10
del isakmp del outside
crypto ¡outside
del auto_config del descanso 0
dhcpd del descanso 30
console del inside
ssh del enable
ssh 192.168.1.0 255.255.255.0 del descanso 30
ssh del inside
telnet del isakmp crypto/>telnet 192.168.1.0 255.255.255.0 del curso de la vida 86400
no de 2
! ¡dirección 192.168.1.61 del
dhcpd - la actualización dns del inside
dhcpd del interfaz del dominio XXX.LOCAL del inside
dhcpd del interfaz del ping_timeout 120 del inside
dhcpd del interfaz del arriendo 259200 del inside
dhcpd del interfaz de 192.168.1.2 de los triunfos del inside
dhcpd del interfaz del inside
dhcpd dns 192.168.1.2 de 192.168.1.95 amba el inside
dhcpd del interfaz permite el inside
! ¡la contraseña básica-threat
username del omitir-dominio de IPSec
del vpn-túnel-protocolo del
de 192.168.1.60 del valor del dns-servidor del attributes
del internal
group-policy RemoteUserAccess2 del tcp-intercept
webvpn
group-policy RemoteUserAccess2 de las estadísticas de la amenaza-detección del acceso-list
no de las estadísticas del protocol
threat-detection de las estadísticas del port
threat-detection de las estadísticas del

threat-detection/>threat-detection cifró el tipo cifrado cifrado omitir-grupo general-attributes
de la vpn-grupo-política RemoteUserAccess2
tunnel-group RemoteUserAccess2 del attributes
del privilegio 0
username de la contraseña de la vpn-grupo-política RemoteUserAccess2
username del attributes
del privilegio 15
username de la contraseña de la vpn-grupo-política RemoteUserAccess2
username del attributes
del privilegio 15
username del eap-proxy
tunnel-group-map de la autentificación de la autentificación ms-chap-v2
del pap
de la autentificación del *
tunnel-group RemoteUserAccess2 ppp-attributes
de la pre-compartir-llave del ipsec-attributes
de la omitir-grupo-política RemoteUserAccess2
tunnel-group RemoteUserAccess2 de RemoteUserAccess
de la tratar-piscina de/>tunnel-group RemoteUserAccess2/>! ¡omitir-inspección-traffic
del fósforo del
class-map/>! ¡
! ¡el tipo del
policy-map examina la clase global-policy
policy-map/> de la mensaje-longitud del parameters
del preset_dns_map
del dns que/> globales-class
examinan el esmtp
examinan el ftp
examinan h323 h225
examinan h323 el ras
examinan IP-options
examinan el netbios
examinan el rsh
examinan el rtsp
examinan el sip
examinan el skinny
examinan el sqlnet
examinan el sunrpc
examinan el tftp
examinan el xdmcp
! perfil CiscoTAC-1
del context
call-home
del hostname del
prompt del global
smtp-server 192.168.1.2 de la global-política del
service-policy ningún rel= " nofollow " del " _blank " del target= de " https://tools.cisco.com/its/service/oddce/services/DDCEService " del href= del > daily
Cryptochecksum del monthly
del inventario del suscribir-a-alerta-grupo del environment
del suscribir-a-alerta-grupo del diagnostic
del suscribir-a-alerta-grupo del http
del transportar-método de la destinación del email [email protected]
de la dirección de destinación del s/service/oddce/services/DDCEService
de https://tools.cisco.com/it del suscribir-a-alerta-grupo de la configuración del monthly
de la telemetría periódica periódica del suscribir-a-alerta-grupo: ¡Otros protocolos de/>XX

All consiguen al servidor - apenas no smtp!  ¿Comprobé con la ISP - dicen que ellos no están bloqueando tráfico del smtp - cuál falto aquí??!? class= del

Respuesta : Edición de Cisco ASA NAT

Encontró algunas otras cosas…

Ningún smtp de entrada O el extranjero, pero según las empresas del cable - ninguna filtración.  Invertimos al circuito anterior, y tan pronto como el interfaz IPS, etc fuera cambiado para el viejo circuito, después a las cosas trabajamos inmediatamente.

Hmmm - no soy ningún científico del cohete - pero las cosas parece algo malo para las empresas del cable

/Chris.