Pytanie : Cisco ASA NAT Zagadnienie

Układ:

There być kabel adres modem przyrząd z the następujący adres:
Internal Interfejs: 10.1.10.1
External Interfejs: XXX.XXX.147.33

The Wewnętrzny interfejs łączyć bezpośrednio the zewnętrznie interfejs ASA5505

ASA5505 Zewnętrznie Interfejs: 10.1.10.2
ASA5505 Wewnętrzny Interfejs: 192.168.1.1

An Wekslowy serwer (SBS) siedzieć przy 192.168.1.2, i przygotowywać mail.

RDP i inny protokół funkcjonować świetnie, ale SMTP być.  Wszystkie SMTP spływowy komes przez Postini (Google) dla higiena.  SMTP dostawać SYN i czas związek the związek.  The asenizować config być tutaj:

ciscoasa#/> config
: Saved
: Pisać enable_15 przy 12:56: 23.279 EDT Mon Jun 21 2010
!
ASA Wersja 8.2 (2)
!
hostname ciscoasa
domain-name/>enable hasło encrypted
passwd encrypted
names
name 192.168.1.250 XXX-XXX-SBS opis XXX Interfejs na XXX-SBS
name 192.168.1.203 XXX-XXXAPP01 opis XXX Interfejs na XXXAPP01
name 192.168.1.204 XXX-XXXAPP02 opis XXX Interfejs na XXXAPP02
name 192.168.1.3 XXXAPP01 opis XXXAPP01 Server
name 192.168.1.4 XXXAPP02 opis XXXAPP02 Server
!
interface Vlan1
nameif inside
ochrona-zrównywać 100
ddns aktualizacja hostname 192.168.1.2
dhcp klient aktualizacja dns serwer both
adres IP 192.168.1.1 255.255.255.0
ospf koszt 10
ospf uwierzytelnienie null
!
interface Vlan2
nameif outside
ochrona-zrównywać 0
adres IP 10.1.10.2 255.255.255.0
ospf koszt 10
!
interface Vlan3
shutdown
żadny przedni interfejs Vlan1
nameif dmz
ochrona-zrównywać 50
adres IP dhcp
ospf koszt 10
!
interface Ethernet0/0
switchport dostęp vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
boot system disk0: /asa822-k8.bin
boot system disk0: /asa724-k8.bin
ftp tryb passive
clock timezone EST -5
clock summer-time EDT recurring
dns domena-zwyżkować inside
dns serwer-grupować DefaultDNS
domain-name ifi.local
same-security-traffic pozwolenie inter-interface
same-security-traffic pozwolenie inter-interface
object-group usługowy RDP tcp
przesyłać-protestować eq 3389
object-group sieć Postini
sieć-protestować 207.126.144.0 255.255.240.0
sieć-protestować 64.18.0.0 255.255.240.0
sieć-protestować 74.125.149.0 255.255.255.0
access-list outside_access_in przedłużyć pozwolenie tcp jakaś jakaś eq 3389
access-list outside_access_in przedłużyć pozwolenie tcp jakaś gospodarz XXX.XXX.147.33 eq smtp
access-list outside_access_in przedłużyć pozwolenie tcp jakaś gospodarz XXX.XXX.147.33 eq https
access-list outside_access_in przedłużyć pozwolenie tcp jakaś gospodarz XXX.XXX.147.34 eq https
access-list outside_access_in przedłużyć pozwolenie tcp jakaś gospodarz XXX.XXX.147.33 eq 444
access-list outside_access_in przedłużyć pozwolenie tcp jakaś gospodarz XXX.XXX.147.33 eq 500
access-list outside_access_in przedłużyć pozwolenie tcp jakaś gospodarz XXX.XXX.147.33 eq 1701
access-list outside_access_in przedłużyć pozwolenie tcp jakaś gospodarz XXX.XXX.147.33 eq pptp
access-list outside_access_in przedłużyć pozwolenie tcp jakaś gospodarz XXX.XXX.147.33 eq 4125
access-list outside_access_in przedłużyć pozwolenie tcp jakaś gospodarz XXX.XXX.147.33 eq 4500
access-list outside_access_in przedłużyć pozwolenie udp jakaś gospodarz XXX.XXX.147.33 eq ntp
access-list outside_access_in przedłużyć pozwolenie tcp jakaś gospodarz XXX.XXX.147.33 eq 987
pager linia 24
logging enable
logging asdm informational
mtu wśrodku 1500
mtu na zewnątrz 1500
mtu dmz 1500
ip lokalny basen RemoteUserAccess 192.168.1.50 - 192.168.1.59 maskowy 255.0.0.0
icmp maskowy oszacowywać-ograniczać (1) pękać-sortować 1
asdm wizerunek disk0: /asdm-625-53.bin
asdm historia enable
arp timeout 14400
global (3:00) (1) interface
nat (3:00) (1) 0.0.0.0 0.0.0.0
static (3:00, 3:00) XXX.XXX.147.33 192.168.1.2 netmask 255.255.255.255
static (3:00, 3:00) XXX.XXX.147.34 XXX-XXX-SBS netmask 255.255.255.255
access-group outside_access_in w interfejs outside
route na zewnątrz 0.0.0.0 0.0.0.0 10.1.10.1 1
timeout xlate 3:00: 00
timeout conn 1:00: 00 półzwarty 0:10: 00 udp 0:02: 00 icmp 0:00: 02
timeout sunrpc 0:10: 00 h323 0:05: 00 h225 1:00: 00 mgcp 0:05: 00 mgcp-klepać 0:05: 00
timeout łyczek 0:30: 00 sip_media 0:02: 00 sączyć-zapraszać 0:03: 00 sączyć-odłączać 0:02: 00
timeout sączyć-prowizoryczny-środek 0:02: 00 uauth 0:05: 00 absolute
timeout tcp-prokurent-reassembly 0:01: 00
dynamic-access-policy-record DfltAccessPolicy
aaa uwierzytelnienie telnet konsola LOCAL
http serwer enable
http 192.168.1.0 255.255.255.0 inside
no snmp-serwer location
no snmp-serwer contact
snmp-server umożliwiać oklepiec snmp uwierzytelnienie linkup linkdown coldstart
no sysopt podłączeniowy pozwalać-vpn
sysopt noproxyarp inside
sysopt noproxyarp outside
sysopt noproxyarp dmz
crypto ipsec przekształcać-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ochrona-skojarzenie życie sekunda 28800
crypto ipsec ochrona-skojarzenie życie kilobajt 4608000
crypto dynamiczny-kartografować outside_dyn_map 20 ustalony pfs group1
crypto dynamiczny-kartografować outside_dyn_map 20 ustalony przekształcać-set ESP-3DES-SHA
crypto dynamiczny-kartografować outside_dyn_map 40 ustalony pfs group1
crypto dynamiczny-kartografować outside_dyn_map 40 ustalony przekształcać-set ESP-3DES-SHA
crypto mapa outside_map 65535 ipsec-isakmp dynamiczny outside_dyn_map
crypto mapa outside_map interfejs outside
crypto isakmp umożliwiać outside
crypto isakmp polisa 10
uwierzytelnienie pre-share
utajnianie 3des
hash sha
grupa 2
życie 86400
no/> isakmp/>-traversal
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 30
ssh scopy enable
ssh 192.168.1.0 255.255.255.0 inside
ssh timeout 30
console timeout 0
dhcpd auto_config outside
!
dhcpd adres 192.168.1.61 - 192.168.1.95 inside
dhcpd dns 192.168.1.2 interfejs inside
dhcpd wygrana 192.168.1.2 interfejs inside
dhcpd arenda 259200 interfejs inside
dhcpd ping_timeout 120 interfejs inside
dhcpd domena XXX.LOCAL interfejs inside
dhcpd aktualizacja dns oba interfejs inside
dhcpd umożliwiać inside
!

threat-detection podstawowy-threat
threat-detection statystyki port
threat-detection statystyki protocol
threat-detection statystyki przystępować-list
no zagrożenie-wykrycie statystyki tcp-intercept
webvpn
group-policy RemoteUserAccess2 internal
group-policy RemoteUserAccess2 attributes
dns-serwer wartość 192.168.1.60
vpn-tunnel-protokół IPSec
default-domena wartość XXX.LOCAL
username hasło utajniać przywilej 15
username attributes
vpn-grupować-polisa RemoteUserAccess2
username hasło utajniać przywilej 15
username attributes
vpn-grupować-polisa RemoteUserAccess2
username hasło utajniać przywilej 0
username attributes
vpn-grupować-polisa RemoteUserAccess2
tunnel-group RemoteUserAccess2 typ pilot-access
tunnel-group RemoteUserAccess2 ogólny-attributes
adresować-gromadzić RemoteUserAccess
default-grupować-polisa RemoteUserAccess2
tunnel-group RemoteUserAccess2 ipsec-attributes
pre-dzielić-wpisywać *
tunnel-group RemoteUserAccess2 ppp-attributes
uwierzytelnienie pap
uwierzytelnienie ms-chap-v2
uwierzytelnienie eap-proxy
tunnel-group-map default-grupować RemoteUserAccess2
!
class-map globalny-class
zapałczany default-inspekcja-traffic
!
!
policy-map typ sprawdzać dns preset_dns_map
parameters
wiadomość-długość maksimum 512
policy-map globalny-policy
klasowy globalny-class
sprawdzać dns
sprawdzać esmtp
sprawdzać ftp
sprawdzać h323 h225
sprawdzać h323 ras
sprawdzać ip-options
sprawdzać netbios
sprawdzać rsh
sprawdzać rtsp
sprawdzać sip
sprawdzać skinny
sprawdzać sqlnet
sprawdzać sunrpc
sprawdzać tftp
sprawdzać xdmcp
!
service-policy globalny-polisa global
smtp-server 192.168.1.2
prompt hostname context
call-home
profilowy CiscoTAC-1
żadny active
miejsce przeznaczenia adres http https://tools.cisco.com/it s/service/oddce/services/DDCEService
miejsce przeznaczenia adres email [email protected]
miejsce przeznaczenia odtransportowywać-metoda http
prenumerować--ostrzegać-grupować diagnostic
prenumerować--ostrzegać-grupować environment
prenumerować--ostrzegać-grupować inwentarzowy okresowy monthly
prenumerować--ostrzegać-grupować konfiguracja okresowy monthly
prenumerować--ostrzegać-grupować telemetria okresowy daily
Cryptochecksum: />XX

All inny protokół dostawać the serwer - właśnie nie SMTP!  I sprawdzać z the ISP - mówić że blokować SMTP ruch drogowy - i być i tutaj??!?

Odpowiedź : Cisco ASA NAT Zagadnienie

Zakładać rzecz inny rzecz…

Żadny przylatujący LUB wyjeżdżające SMTP, ale według the firma kablowa - żadny.  My powracać the poprzedzający obwód, i jak tylko interfejs IPs, etc zmieniać dla the stary obwód, then rzecz natychmiast pracować.

Hmmm - i być żadny rakietowy naukowiec - ale rzecz patrzeć raczej bad dla the firma kablowa

/Chris.