Pergunta : Edição de Cisco ASA NAT

Disposição: o

There é um cabo forneceu o dispositivo do modem os seguintes endereços: relação do
Internal: relação do
External de 10.1.10.1: A relação interna de XXX.XXX.147.33

The é conetada diretamente à relação externa de uma relação externa de ASA5505

ASA5505: relação interna do
ASA5505 de 10.1.10.2: o usuário da troca do

An de 192.168.1.1 (SBS) está sentando-se em 192.168.1.2, e apronta-se para receber mail.

RDP e outros protocolos estão funcionando muito bem, mas o smtp não é.  Todo o fluxo do smtp vem com Postini (Google) para a higiene.  O smtp começ um SYN e épocas para fora a conexão.  O config sanitized está aqui: config
do

ciscoasa#: Saved
: Escrito por enable_15 no 12:56: 23.279 EDT segunda-feira
do 21 de junho de 2010!
da versão 8.2 do
ASA (2)! relação da descrição XXX do encrypted
names
name 192.168.1.250 XXX-XXX-SBS do encrypted
passwd da senha do ciscoasa
domain-name/>enable do
hostname na relação da descrição XXX de XXX-SBS
name 192.168.1.203 XXX-XXXAPP01 na relação da descrição XXX de XXXAPP01
name 192.168.1.204 XXX-XXXAPP02 na descrição XXXAPP02 Server
da descrição XXXAPP01 Server
name 192.168.1.4 XXXAPP02 de XXXAPP02
name 192.168.1.3 XXXAPP01! null
da autenticação do OSPF do custo 10
do OSPF do
de 192.168.1.1 255.255.255.0 do IP address do both
do usuário de dns da atualização do cliente do DHCP do
de 192.168.1.2 do hostname da atualização dos ddns do segurança-nível 100
do inside
do nameif do
interface Vlan1
! custo 10
do OSPF do
de 10.1.10.2 255.255.255.0 do IP address do segurança-nível 0
do outside
do nameif do
interface Vlan2
! shutdown
do
interface Vlan3
nenhum custo para diante 10
do OSPF do dhcp
do IP address do segurança-nível 50
do dmz
do nameif da relação Vlan1
! acesso 2
do switchport do
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!sistema disk0 do
boot: sistema disk0 de /asa822-k8.bin
boot: licença estendida tcp do
access-list de 74.125.149.0 255.255.255.0 do rede-objeto do
de 64.18.0.0 255.255.240.0 do rede-objeto do
de 207.126.144.0 255.255.240.0 do rede-objeto de Postini
da rede do eq 3389
object-group do porto-objeto do tcp
da RDP do serviço da licença/>object-group da licença/>same-security-traffic do Domain Name ifi.local
same-security-traffic de DefaultDNS
do usuário-grupo do inside
dns da domínio-consulta do recurring
dns do verão EDT do EST -5
clock do timezone do passive
clock da modalidade de /asa724-k8.bin
ftp outside_access_in intra-interface
access-list alguma licença estendida outside_access_in tcp do smtp
access-list do eq do anfitrião XXX.XXX.147.33 alguma licença estendida outside_access_in tcp do https
access-list do eq do anfitrião XXX.XXX.147.33 alguma licença estendida outside_access_in tcp do https
access-list do eq do anfitrião XXX.XXX.147.34 alguma licença estendida outside_access_in tcp do eq 444
access-list do anfitrião XXX.XXX.147.33 alguma licença estendida outside_access_in tcp do eq 500
access-list do anfitrião XXX.XXX.147.33 algum anfitrião XXX.XXX.147.33 a licença estendida outside_access_in tcp do eq 1701
access-list toda a licença estendida outside_access_in tcp do pptp
access-list do eq do anfitrião XXX.XXX.147.33 qualquer licença estendida outside_access_in tcp do eq 4125
access-list do anfitrião XXX.XXX.147.33 todo o UDP estendido outside_access_in da licença do eq 4500
access-list do anfitrião XXX.XXX.147.33 qualquer licença estendida outside_access_in tcp do ntp
access-list do eq do anfitrião XXX.XXX.147.33 todo o eq 987
pager do anfitrião XXX.XXX.147.33 alinha o informational
mtu do asdm do enable
logging de 24
logging dentro de 1500
mtu fora da associação local RemoteUserAccess 192.168.1.50 do dmz 1500
ip de 1500
mtu - a imagem unreachable disk0 do estourar-tamanho 1
asdm do taxa-limite 1 do
icmp de 255.0.0.0 da máscara de 192.168.1.59: intervalo de parada 14400
global do enable
arp da história de /asdm-625-53.bin
asdm (fora) 1 interface
nat (para dentro) 1 outside_access_in do
access-group de 255.255.255.255 do netmask do
static de 255.255.255.255 do netmask do
static de 0.0.0.0 0.0.0.0 (para dentro, fora) XXX.XXX.147.33 192.168.1.2 (para dentro, fora) XXX.XXX.147.34 XXX-XXX-SBS no outside
route da relação fora do 3:00 do xlate de 0.0.0.0 0.0.0.0 10.1.10.1 1
timeout: 1:00 da conexão de 00
timeout: 00 0:10 entreabertos: 00 0:02 do UDP: 00 0:00 do ICMP: 0:10 do sunrpc de 02
timeout: 00 0:05 h323: 00 1:00 h225: 00 0:05 do mgcp: 00 mgcp-pat o 0:05: 0:30 do sorvo de 00
timeout: 00 0:02 do sip_media: 00 sorver-convidam o 0:03: 00 sorver-desconectam o 0:02: 0:02 dos sorver-provisional-meios de 00
timeout: 00 0:05 do uauth: 00 0:01 da tcp-proxy-remontagem do absolute
timeout: o contact
snmp-server do SNMP-usuário do location
no do SNMP-usuário do inside
no do enable
http 192.168.1.0 255.255.255.0 do usuário de LOCAL
http do console do telnet da autenticação de 00
dynamic-access-policy-record DfltAccessPolicy
aaa permite armadilhas a conexão do sysopt que do coldstart
no do linkdown da associação da autenticação do SNMP permite-vpn
crypto do noproxyarp do outside
sysopt do noproxyarp do inside
sysopt do noproxyarp de/>sysopt transformar-ajustou pfs ajustados do outside_dyn_map 20 do dinâmico-mapa dos quilobytes 4608000
crypto da vida da segurança-associação do ipsec dos segundos 28800
crypto da vida da segurança-associação do ipsec do esp-sha-hmac
crypto de ESP-3DES-SHA esp-3des o jogo do outside_dyn_map 20 do dinâmico-mapa de group1
crypto transformar-ajustou pfs ajustados do outside_dyn_map 40 do dinâmico-mapa de ESP-3DES-SHA
crypto o jogo do outside_dyn_map 40 do dinâmico-mapa de group1
crypto transformar-ajustou o ipsec-isakmp do outside_map 65535 do mapa de ESP-3DES-SHA
crypto o isakmp dinâmico do outside
crypto da relação do outside_map do mapa do outside_dyn_map
crypto permite o grupo do sha
da mistura da cifragem 3des
do pre-share
da autenticação da política 10
do isakmp do outside
crypto outside
do auto_config do intervalo de parada 0
dhcpd do intervalo de parada 30
console do inside
ssh do enable
ssh 192.168.1.0 255.255.255.0 do intervalo de parada 30
ssh do inside
telnet do isakmp crypto/>telnet 192.168.1.0 255.255.255.0 da vida 86400
no de 2
! endereço 192.168.1.61 do
dhcpd - a atualização dns do inside
dhcpd da relação do domínio XXX.LOCAL do inside
dhcpd da relação do ping_timeout 120 do inside
dhcpd da relação do aluguer 259200 do inside
dhcpd da relação de 192.168.1.2 das vitórias do inside
dhcpd da relação do inside
dhcpd dns 192.168.1.2 de 192.168.1.95 amba o inside
dhcpd da relação permite o inside
! a senha básica-threat
username do optar-domínio de IPSec
do vpn-túnel-protocolo do
de 192.168.1.60 do valor do dns-usuário do attributes
do internal
group-policy RemoteUserAccess2 do tcp-intercept
webvpn
group-policy RemoteUserAccess2 das estatísticas da ameaça-deteção do acesso-list
no das estatísticas do protocol
threat-detection das estatísticas do port
threat-detection das estatísticas do

threat-detection/>threat-detection cifrou o tipo cifrado cifrado optar-grupo geral-attributes
da vpn-grupo-política RemoteUserAccess2
tunnel-group RemoteUserAccess2 do attributes
do privilégio 0
username da senha da vpn-grupo-política RemoteUserAccess2
username do attributes
do privilégio 15
username da senha da vpn-grupo-política RemoteUserAccess2
username do attributes
do privilégio 15
username do eap-proxy
tunnel-group-map da autenticação da autenticação ms-chap-v2
do pap
da autenticação do *
tunnel-group RemoteUserAccess2 ppp-attributes
da pre-compartilhar-chave do ipsec-attributes
da optar-grupo-política RemoteUserAccess2
tunnel-group RemoteUserAccess2 de RemoteUserAccess
da endereçar-associação de/>tunnel-group RemoteUserAccess2/>! optar-inspeção-traffic
do fósforo do
class-map/>!
! o tipo do
policy-map inspeciona a classe que global-policy
policy-map/> do mensagem-comprimento do parameters
do preset_dns_map
do dns/> globais-class
inspecionam o esmtp
inspecionam o ftp
inspecionam h323 h225
inspecionam h323 o ras
inspecionam IP-options
inspecionam o netbios
inspecionam o rsh
inspecionam o rtsp
inspecionam o sip
inspecionam o skinny
inspecionam o sqlnet
inspecionam o sunrpc
inspecionam o tftp
inspecionam o xdmcp
! perfil CiscoTAC-1
do context
call-home
do hostname do
prompt do global
smtp-server 192.168.1.2 da global-política do
service-policy nenhum rel= " nofollow " do " _blank " " do target= de " https://tools.cisco.com/its/service/oddce/services/DDCEService do href= do > da telemetria periódica periódica do subscrever-à-alerta-grupo do monthly
da configuração do subscrever-à-alerta-grupo do monthly
do inventário do subscrever-à-alerta-grupo do environment
do subscrever-à-alerta-grupo do diagnostic
do subscrever-à-alerta-grupo do http
do transportar-método do destino do email [email protected]
do endereço de destino do s/service/oddce/services/DDCEService
de https://tools.cisco.com/it daily
Cryptochecksum: Outros protocolos de/>XX

All começ ao usuário - apenas não smtp!  Eu verific com o ISP - dizem que eles não estão obstruindo o tráfego do smtp - o que falto eu aqui??!? class= do

Resposta : Edição de Cisco ASA NAT

Encontrou algumas outras coisas…

Nenhum smtp de entrada OU de partida, mas de acordo com a empresa de serviços por cabo - nenhuma filtração.  Nós revertemos ao circuito precedente, e assim que a relação IPs, etc. fosse mudada para o circuito velho, a seguir às coisas trabalhamos imediatamente.

Hmmm - eu não sou nenhum cientista do foguete - mas coisas olha um pouco mau para a empresa de serviços por cabo

/Chris.