Questione : Edizione di Cisco asa NAT

Disposizione: il

There è un cavo ha fornito al dispositivo del modem i seguenti indirizzi: interfaccia del
Internal: interfaccia del
External di 10.1.10.1: L'interfaccia interna di XXX.XXX.147.33

The è collegata direttamente all'interfaccia esterna di un'interfaccia esterna di ASA5505

ASA5505: interfaccia interna del
ASA5505 di 10.1.10.2: l'assistente di scambio del

An di 192.168.1.1 (SBS) sta sedendosi a 192.168.1.2 e ready per ricevere mail.

RDP ed altri protocolli stanno funzionando benissimo, ma lo smtp non è.  Tutto il flusso dello smtp viene con Postini (Google) per l'igiene.  Lo smtp ottiene uno SYN ed i periodi il collegamento.  Il config sterilizzato è qui: config
del

ciscoasa#: Saved
: Scritto da enable_15 al 12:56: 23.279 EDT lunedì
del 21 giugno 2010! versione 8.2 (2)
del
ASA! interfaccia di descrizione XXX del encrypted
names
name 192.168.1.250 XXX-XXX-SBS del encrypted
passwd di parola d'accesso del ciscoasa
domain-name/>enable del
hostname sull'interfaccia di descrizione XXX di XXX-SBS
name 192.168.1.203 XXX-XXXAPP01 sull'interfaccia di descrizione XXX di XXXAPP01
name 192.168.1.204 XXX-XXXAPP02 sulla descrizione XXXAPP02 Server
di descrizione XXXAPP01 Server
name 192.168.1.4 XXXAPP02 di XXXAPP02
name 192.168.1.3 XXXAPP01! null
di autenticazione del OSPF di costo 10
del OSPF del
di 192.168.1.1 255.255.255.0 di IP address del both
dell'assistente di dns dell'aggiornamento del cliente di DHCP del
di 192.168.1.2 del hostname dell'aggiornamento dei ddns del sicurezza-livello 100
del inside
del nameif del
interface Vlan1
! costo 10
del OSPF del
di 10.1.10.2 255.255.255.0 di IP address del sicurezza-livello 0
del outside
del nameif del
interface Vlan2
! shutdown
del
interface Vlan3
nessun costo di andata 10
del OSPF del dhcp
di IP address del sicurezza-livello 50
del dmz
del nameif dell'interfaccia Vlan1
! accesso 2
dello switchport del
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!sistema disk0 del
boot: sistema disk0 di /asa822-k8.bin
boot: permesso esteso inter-interface
same-security-traffic di Domain Name ifi.local
same-security-traffic di DefaultDNS
del assistente-gruppo del inside
dns di dominio-occhiata del recurring
dns di estate EDT di EST -5
clock di timezone del passive
clock di modo di /asa724-k8.bin
ftp outside_access_in tcp del
access-list di 74.125.149.0 255.255.255.0 dell'rete-oggetto del
di 64.18.0.0 255.255.240.0 dell'rete-oggetto del
di 207.126.144.0 255.255.240.0 dell'rete-oggetto di Postini
della rete del eq 3389
object-group dell'orificio-oggetto del tcp
del RDP di servizio del permesso intra-interface
object-group del permesso qualsiasi qualsiasi permesso esteso outside_access_in tcp del eq 3389
access-list qualsiasi permesso esteso outside_access_in tcp dello smtp
access-list del eq ospite XXX.XXX.147.33 qualsiasi permesso esteso outside_access_in tcp del https
access-list del eq ospite XXX.XXX.147.33 qualsiasi permesso esteso outside_access_in tcp del https
access-list del eq ospite XXX.XXX.147.34 qualsiasi permesso esteso outside_access_in tcp del eq 444
access-list ospite XXX.XXX.147.33 qualsiasi permesso esteso outside_access_in tcp del eq 500
access-list ospite XXX.XXX.147.33 qualsiasi ospite XXX.XXX.147.33 il permesso esteso outside_access_in tcp del eq 1701
access-list tutto il permesso esteso outside_access_in tcp del pptp
access-list del eq ospite XXX.XXX.147.33 qualunque permesso esteso outside_access_in tcp del eq 4125
access-list ospite XXX.XXX.147.33 tutto il UDP del permesso esteso outside_access_in del eq 4500
access-list ospite XXX.XXX.147.33 qualunque permesso esteso outside_access_in tcp del ntp
access-list del eq ospite XXX.XXX.147.33 tutto il eq 987
pager ospite XXX.XXX.147.33 allinea il informational
mtu del asdm del enable
logging di 24
logging all'interno di 1500
mtu fuori dello stagno locale RemoteUserAccess 192.168.1.50 del dmz 1500
ip di 1500
mtu - l'immagine inaccessible disk0 di scoppiare-formato 1
asdm di tasso-limite 1 del
icmp di 255.0.0.0 della mascherina di 192.168.1.59: prespegnimento 14400
global del enable
arp di storia di /asdm-625-53.bin
asdm (all'esterno) 1 interface
nat (all'interno) 1 outside_access_in del
access-group di 255.255.255.255 del netmask del
static (all'interno, all'esterno) XXX.XXX.147.34 XXX-XXX-SBS di 255.255.255.255 del netmask del
static (all'interno, all'esterno) XXX.XXX.147.33 192.168.1.2 di 0.0.0.0 0.0.0.0 nel outside
route dell'interfaccia fuori del 3:00 del xlate di 0.0.0.0 0.0.0.0 10.1.10.1 1
timeout: 1:00 dei connett. di 00
timeout: 00 0:10 semichiusi: 00 0:02 del UDP: 00 0:00 del ICMP: 0:10 del sunrpc di 02
timeout: 00 0:05 h323: 00 1:00 h225: 00 0:05 del mgcp: 00 0:05 del mgcp-picchiettio: 0:30 della sorsata di 00
timeout: 00 0:02 di sip_media: 00 sorseggiare-invitano il 0:03: 00 sorseggiare-staccano il 0:02: 0:02 di sorseggiare-provvisorio-mezzi di 00
timeout: 00 0:05 del uauth: 00 0:01 di tcp-procura-rimontaggio del absolute
timeout: il contact
snmp-server dell'SNMP-assistente del location
no dell'SNMP-assistente del inside
no del enable
http 192.168.1.0 255.255.255.0 dell'assistente di LOCAL
http della sezione comandi del telnet di autenticazione di 00
dynamic-access-policy-record DfltAccessPolicy
aaa permette alle prese il collegamento dello sysopt che del coldstart
no del linkdown della presa di contatto di autenticazione dello SNMP consente-vpn
crypto del noproxyarp del outside
sysopt del noproxyarp del inside
sysopt del noproxyarp di/>sysopt trasformare-ha regolato i pfs stabiliti del outside_dyn_map 20 del dinamico-programma di kilobyti 4608000
crypto di corso della vita di sicurezza-associazione del ipsec di secondi 28800
crypto di corso della vita di sicurezza-associazione del ipsec del esp-sha-hmac
crypto di ESP-3DES-SHA esp-3des l'insieme del outside_dyn_map 20 del dinamico-programma di group1
crypto trasformare-ha regolato i pfs stabiliti del outside_dyn_map 40 del dinamico-programma di ESP-3DES-SHA
crypto l'insieme del outside_dyn_map 40 del dinamico-programma di group1
crypto trasformare-ha regolato il ipsec-isakmp del outside_map 65535 del programma di ESP-3DES-SHA
crypto il isakmp dinamico del outside
crypto dell'interfaccia del outside_map del programma del outside_dyn_map
crypto permette al gruppo dello sha
del hash di crittografia 3des
del pre-share
di autenticazione di politica 10
del isakmp del outside
crypto outside
del auto_config di prespegnimento 0
dhcpd di prespegnimento 30
console del inside
ssh del enable
ssh 192.168.1.0 255.255.255.0 di prespegnimento 30
ssh del inside
telnet del isakmp crypto/>telnet 192.168.1.0 255.255.255.0 di corso della vita 86400
no di 2
! indirizzo 192.168.1.61 del
dhcpd - l'aggiornamento dns del inside
dhcpd dell'interfaccia di dominio XXX.LOCAL del inside
dhcpd dell'interfaccia del ping_timeout 120 del inside
dhcpd dell'interfaccia del contratto d'affitto 259200 del inside
dhcpd dell'interfaccia di 192.168.1.2 di vittorie del inside
dhcpd dell'interfaccia del inside
dhcpd il dns 192.168.1.2 di 192.168.1.95 entrambe inside
dhcpd dell'interfaccia permette al inside
! la parola d'accesso di base-threat
username di stabilizzare-dominio di IPSec
di vpn-traforo-protocollo del
di 192.168.1.60 di valore dell'dns-assistente del attributes
del internal
group-policy RemoteUserAccess2 di tcp-intercept
webvpn
group-policy RemoteUserAccess2 di statistiche di minaccia-rilevazione di accesso-list
no di statistiche del protocol
threat-detection di statistiche del port
threat-detection di statistiche del

threat-detection/>threat-detection ha cifrato il tipo il stabilizzare-gruppo generale-attributes
di vpn-gruppo-politica RemoteUserAccess2
tunnel-group RemoteUserAccess2 del attributes
di privilegio cifrato 0
username di parola d'accesso di vpn-gruppo-politica RemoteUserAccess2
username del attributes
di privilegio cifrato 15
username di parola d'accesso di vpn-gruppo-politica RemoteUserAccess2
username del attributes
di privilegio 15
username del eap-proxy
tunnel-group-map di autenticazione di autenticazione ms-chap-v2
del pap
di autenticazione del *
tunnel-group RemoteUserAccess2 PPA-attributes
di pre-ripartire-chiave del ipsec-attributes
di stabilizzare-gruppo-politica RemoteUserAccess2
tunnel-group RemoteUserAccess2 di RemoteUserAccess
dello richiamare-stagno di/>tunnel-group RemoteUserAccess2/>! stabilizzare-controllo-traffic
del fiammifero del
class-map/>!
! il tipo del
policy-map controlla il codice categoria che globale-policy
policy-map/> di messaggio-lunghezza del parameters
del preset_dns_map
di dns/> globali-class
controllano il esmtp
controllano il ftp
controllano h323 h225
controllano h323 il ras
controllano IP-options
controllano il netbios
controllano il rsh
controllano il rtsp
controllano il sip
controllano lo skinny
controllano lo sqlnet
controllano il sunrpc
controllano il tftp
controllano il xdmcp
! profilo CiscoTAC-1
del context
call-home
del hostname del
prompt del global
smtp-server 192.168.1.2 di globale-politica del
service-policy nessun rel= " nofollow " " del _blank " " del target= " di https://tools.cisco.com/its/service/oddce/services/DDCEService del href= di > daily
Cryptochecksum del monthly
di inventario del abbonare--attento-gruppo del environment
del abbonare--attento-gruppo del diagnostic
del abbonare--attento-gruppo del http
di trasportare-metodo della destinazione del email [email protected]
di indirizzo di destinazione del s/service/oddce/services/DDCEService

di https://tools.cisco.com/it del abbonare--attento-gruppo di configurazione del monthly
di telemetria periodica periodica del abbonare--attento-gruppo: Altri protocolli di/>XX

All ottengono all'assistente - appena non smtp!  Ho controllato con l'ISP - dicono che non stanno ostruendo il traffico dello smtp - che cosa manco qui??!?
class= del

Risposta : Edizione di Cisco asa NAT

Ha trovato alcune altre cose…

Nessuno smtp in arrivo O diretto all'estero, ma secondo la società di distribuzione via cavo - nessuna filtrazione.  Siamo ritornato al circuito precedente e non appena l'interfaccia IPS, ecc è stata cambiata per il vecchio circuito, quindi alle cose immediatamente abbiamo funzionato.

Hmmm - sono scienziato del razzo - ma cose osserva piuttosto difettoso per la società di distribuzione via cavo

/Chris.
Altre soluzioni  
 
programming4us programming4us