Vraag : De NATIONAAL Kwestie van Cisco ASA

Lay-out:

There is een kabel verstrekt modemapparaat met de volgende adressen: interface
Internal: 10.1.10.1
External: Wordt de Interne interface/>The van XXX.XXX.147.33

ASA5505: de Interne Interface/>ASA5505 van 10.1.10.2 An de server van de Uitwisseling/>

RDP en andere protocollen te ontvangen zijn goed werkende boete, maar SMTP is niet. Al stroom SMTP komt door Postini (Google) voor hygiëne. SMTP gaat een SYN en tijden weg de verbinding. Gezuiverd config is hier:

ciscoasa# sh config
: Saved
: Geschreven door enable_15 bij 12:56: 23.279 EDT Mon Jun 21 2010
!
ASA Versie 8.2 (2)
!
hostname ciscoasa
domain-name/>enable wachtwoord encrypted
passwd encrypted
names
name 192.168.1.250 xxx-SBS beschrijving XXX Interface op beschrijving XXX van xXX-SBS
name 192.168.1.203 xxx-XXXAPP01 Interface op beschrijving XXX van XXXAPP01
name 192.168.1.204 xxx-XXXAPP02 Interface op de beschrijvingsXXXAPP01 Server
name 192.168.1.4 XXXAPP02 beschrijving van XXXAPP02
name 192.168.1.3 XXXAPP01 XXXAPP02 Server
!
interface Vlan1
nameif inside
veiligheid-niveau 100
ddns update hostname 192.168.1.2
de updatedns van de DHCPcliënt server both
ip het adres 192.168.1.1 255.255.255.0
ospf kostte 10
ospf authentificatie null
! /> nameif outside
veiligheid-niveau
interface Vlan2
ip het adres 10.1.10.2 255.255.255.0
ospf kostte 10
!
interface Vlan3
shutdown
geen voorwaarts interfaceVlan1
nameif dmz
veiligheid-niveau 50
ip adres dhcp
ospf kostte 10
!
interface Ethernet0/0
switchport toegang vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
boot systeem disk0: /asa822-k8.bin
boot systeem disk0: /asa724-k8.bin
ftp de zomerEDT recurring
dns van wijze passive
clock timezone EST -5
clock inside
dns de domein-naam ifi.local
/>same-security-traffic- vergunnings inter-inter-interfacesame-security-traffic- vergunnings intra-intra-interfaceobject-group tcp
van haven-voorwerp eq 3389
object-group het netwerk-voorwerp netwerkPostini
207.126.144.0 255.255.240.0
netwerk-voorwerp 64.18.0.0 255.255.240.0
netwerk-voorwerp 74.125.149.0 255.255.255.0
access-list outside_access_in uitgebreid vergunningsTCP om het even welk om het even welk TCP van de eq3389
access-list om het even welk TCP van de gastheerXXX.XXX.147.33 eq smtp
access-list om het even welk TCP van de gastheerXXX.XXX.147.33 eq https
access-list om het even welk TCP van de gastheerXXX.XXX.147.34 eq https
access-list om het even welk TCP van de gastheerXXX.XXX.147.33 eq outside_access_in uitgebreid vergunning 444
access-list om het even welk TCP van de gastheerXXX.XXX.147.33 eq outside_access_in uitgebreid vergunning 500
access-list om het even welke gastheer XXX.XXX.147.33 eq 1701
access-list outside_access_in uitgebreid vergunningsTCP om het even welk TCP van de gastheerXXX.XXX.147.33 eq pptp
access-list om het even welk TCP van de gastheerXXX.XXX.147.33 eq outside_access_in uitgebreid vergunning 4125
access-list om het even welke gastheerXXX.XXX.147.33 eq outside_access_in uitgebreide vergunning 4500
access-list udp om het even welk TCP van de gastheerXXX.XXX.147.33 eq ntp
access-list om het even welke gastheerXXX.XXX.147.33 eq 987
pager lijnen 24
logging enable
logging asdm informational
mtu binnen 1500
mtu buiten 1500
mtu dmz 1500
ip lokale pool RemoteUserAccess 192.168.1.50 - 192.168.1.59 masker255.0.0.0
icmp onbereikbare tarief-grens 1 uitbarsting-grootte 1
asdm beeld disk0: /asdm-625-53.bin
asdm geschiedenis enable
arp onderbreking 14400
global (buiten) 1 interface
nat (binnen) 1 0.0.0.0 0.0.0.0
static (binnen, buiten) XXX.XXX.147.33 192.168.1.2 netmask 255.255.255.255
static (binnen, buiten) XXX.XXX.147.34 xxx-SBS netmask 255.255.255.255
access-group outside_access_in in interface outside
route buiten 0.0.0.0 0.0.0.0 10.1.10.1 1
timeout xlate 3:00: conn 1:00 00
timeout: 00 half-closed 0:10: 00 udp0:02: 00 icmp0:00: sunrpc 0:10 02
timeout: 00 h323 0:05: 00 h225 1:00: 00 mgcp0:05: 00 mgcp-klopje0:05: 00
timeout slokje0:30: 00 sip_media0:02: 00 slokje-nodigen 0:03 uit: 00 slokje-maken 0:02 los: slokje-voorlopig-middelen 00
timeout 0:02: 00 uauth0:05: 00 absolute
timeout TCP-volmacht-hermontage 0:01: Telnet van de 00
dynamic-access-policy-record DfltAccessPolicy
aaa authentificatie de server enable
http 192.168.1.0 255.255.255.0 inside
no SNMP-server van consoleLOCAL
http location
no de SNMP-server contact
snmp-server laat van de de authentificatieverbinding van vallenSNMP van de veiligheid-vereniging/>sysopt noproxyarp outside
sysopt noproxyarp dmz
crypto ipsec in het bijzonder -in het bijzonder-sha-hmac
crypto van de de verbindings vergunning-vpnsysopt linkdown coldstart
no sysopt noproxyarp inside
crypto levenseconden 28800
crypto toe outside_dyn_map 20 reeks pfs group1
crypto dynamisch-kaart levenkilobytes 4608000
crypto dynamisch-kaart outside_dyn_map van reeks de transformatie-vastgestelde in het bijzonder-3DES-SHA
crypto ipsec-isakmp 40 de kaart outside_map 65535 van reeks transformatie-vastgestelde in het bijzonder-3DES-SHA
crypto de dynamische interface outside
crypto van de outside_dyn_map
crypto kaart outside_map isakmp outside
crypto isakmp groep van de de encryptie3des
knoeiboel van de beleids10
authentificatie de pre-share sha
toelaat 2
leven86400
no crypto isakmp nationaal -nationaal-traversal
telnet 192.168.1.0 255.255.255.0 inside
telnet de onderbrekings30
console onderbreking van onderbrekings30
ssh scopy enable
ssh 192.168.1.0 255.255.255.0 inside
ssh 0
dhcpd auto_config outside
!
dhcpd adres 192.168.1.61 - 192.168.1.95 inside
dhcpd dns 192.168.1.2 de interface inside
dhcpd wint 192.168.1.2 interface inside
dhcpd huur 259200 interface inside
dhcpd ping_timeout 120 de interface inside
dhcpd update van het interface inside
dhcpd domein XXX.LOCAL dns beide interface inside
dhcpd inside
toelaat!

threat-detection toegang-listthreat-detection- statistieken port
threat-detection- statistieken protocol
threat-detection- statistieken/>no van bedreiging-opsporing de dns-server/>webvpn
group-policy RemoteUserAccess2 internal
group-policy RemoteUserAccess2 statistiekenTCP -TCP-intercept
waarde192.168.1.60
tot het gebrek-domein van vpn-tunnel-protocolIPSec
waarde XXX.LOCAL
username wachtwoord gecodeerd voorrecht 15
username attributes
vpn-groep-beleid RemoteUserAccess2
username wachtwoord gecodeerd voorrecht 15
username attributes
vpn-groep-beleid RemoteUserAccess2
username wachtwoord gecodeerd voorrecht 0
username het type/>tunnel-group RemoteUserAccess2 van attributes
vpn-groep-beleid RemoteUserAccess2
tunnel-group RemoteUserAccess2 het algemeen-attributes adres-pool van de het gebrek-groep-beleid RemoteUserAccess2
/>tunnel-group RemoteUserAccess2 ipsec-attributes
pre-delen-zeer belangrijke *
tunnel-group RemoteUserAccess2 ppp -ppp-attributes
de authentificatie eap-proxy
tunnel-group-map gebrek-groep authentificatie pap
authentificatie Mej.-kloofje-v2
RemoteUserAccess2
!
class-map globale -globaal-class
gelijke gebrek-inspectie/>
!
! het type
policy-map inspecteert dns preset_dns_map
parameters
bericht-lengte maximum globale -globaal-policy
klasse 512
policy-map globale -globaal-class
dns
inspecteert esmtp
inspecteert ftp
inspecteert h323 h225
inspecteert h323 ras
inspecteert ip -ip-options
inspecteert netbios
inspecteert rsh
inspecteert rtsp
inspecteert sip
inspecteert skinny
inspecteert sqlnet
inspecteert sunrpc
inspecteert tftp
inspecteert xdmcp
inspecteert!
service-policy globaal-beleids global
smtp-server 192.168.1.2
profiel/>prompt hostname context
call-home
geen het adresHTTP https://tools.cisco.com/it s/service/oddce/services/DDCEService
de bestemmings van de vervoer-methode van het bestemmingsadres e-mail [email protected]
http
van de de in:tekenen-aan-waakzaam-groepsinventaris in:tekenen-aan-waakzaam-groeps diagnostic
in:tekenen-aan-waakzaam-groep environment
van de monthly
in:tekenen-aan-waakzaam-groep periodieke van de configuratie periodieke monthly
periodieke daily
Cryptochecksum: />XX

All andere protocollen krijgt aan de server - enkel niet SMTP! Ik controleerde met ISP - zeggen zij dat zij geen verkeer SMTP blokkeren - wat I die??! ben hier missen?

Antwoord : De NATIONAAL Kwestie van Cisco ASA

Vond een paar andere dingen…

Geen binnenkomende OF uitgaande SMTP, maar volgens het kabelbedrijf - geen het filtreren. Wij keerden aan de vorige kring terug, en zodra interfaceIPs, enz. voor de oude kring werd veranderd, dan onmiddellijk gewerkte dingen.

Hmmm - ik ben geen raketwetenschapper - maar dingen kijkt eerder slecht voor het kabelbedrijf

/Chris.

Andere oplossingen

Somebody verzendt emialsvorm mijn hotmailrekening

een programma probeert om het volgende e-mailbericht uit uw naam te verzenden - de Levende post van Vensters

Kleine Statische IP Bedrijfs van de Server 2008 verandering

sharepoint stichting 2010 op met 32 bits?

Word 2003 die - met lijsten, rijen, en cellen werken

Navigeer aan de pagina van een specifiek punt op een gridview

Hyperlink die het diagram/de Tekening activeren

Apple iWeb - hoe te om HTML aan Schijf de website via FTP te publiceren te bewaren of?

sql - datumformaat

Het van een lus voorzien over de tellers van googlekaarten v3