Вопрос : Вопрос Cisco ASA NAT

План:

There будет кабель обеспечило приспособление модема с следующий адресами: поверхность стыка
Internal: поверхность стыка
External 10.1.10.1: Поверхность стыка XXX.XXX.147.33

The внутренне соединена сразу к внешней поверхности стыка поверхности стыка ASA5505

ASA5505 внешней: поверхность стыка
ASA5505 10.1.10.2 внутренне: сервер обменом

An 192.168.1.1 (SBS) сидит на 192.168.1.2, и подготавливает для того чтобы получить mail.

RDP и другие протоколы действуют отлично, но SMTP не.  Вся подача SMTP приходит через Postini (Google) для гигиены.  SMTP получает SYN и времена вне соединение.  Санированный config здесь: config


ciscoasa# sh: Saved
: Написано enable_15 на 12:56: 23.279
EDT понедельника 21-ое июня 2010! вариант 8.2
ASA (2)
! поверхность стыка описания XXX encrypted
names
name 192.168.1.250 XXX-XXX-SBS encrypted
passwd пароля ciscoasa
domain-name/>enable
hostname на поверхности стыка описания XXX XXX-SBS
name 192.168.1.203 XXX-XXXAPP01 на поверхности стыка описания XXX XXXAPP01
name 192.168.1.204 XXX-XXXAPP02 на описании XXXAPP02 Server
описания XXXAPP01 Server
name 192.168.1.4 XXXAPP02 XXXAPP02
name 192.168.1.3 XXXAPP01! null
удостоверения подлинности ospf цены 10
ospf
192.168.1.1 255.255.255.0 адреса ip both
сервера dns уточнения клиента dhcp
192.168.1.2 именени ведущего уточнения ddns обеспеченност-уровня 100
inside
nameif
interface Vlan1
! цена 10
ospf
10.1.10.2 255.255.255.0 адреса ip обеспеченност-уровня 0
outside
nameif
interface Vlan2
! shutdown

interface Vlan3
отсутствие передней цены 10
ospf dhcp
адреса ip обеспеченност-уровня 50
dmz
nameif поверхности стыка Vlan1
! доступ vlan 2
switchport
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!система disk0
boot: система disk0 /asa822-k8.bin
boot: разрешение удлиненное outside_access_in tcp
access-list 74.125.149.0 255.255.255.0 сет-предмета
64.18.0.0 255.255.240.0 сет-предмета
207.126.144.0 255.255.240.0 сет-предмета Postini
сети eq 3389
object-group порт-предмета tcp
RDP обслуживания разрешения intra-interface
object-group разрешения взаимо--interface
same-security-traffic domain-name ifi.local
same-security-traffic DefaultDNS
сервер-группы inside
dns домен-взгляда вверх recurring
dns временени EDT EST -5
clock часовойа пояс passive
clock режима /asa724-k8.bin
ftp любое любое разрешение удлиненное outside_access_in tcp eq 3389
access-list любое разрешение удлиненное outside_access_in tcp smtp
access-list eq хозяина XXX.XXX.147.33 любое разрешение удлиненное outside_access_in tcp https
access-list eq хозяина XXX.XXX.147.33 любое разрешение удлиненное outside_access_in tcp https
access-list eq хозяина XXX.XXX.147.34 любое разрешение удлиненное outside_access_in tcp eq 444
access-list хозяина XXX.XXX.147.33 любое разрешение удлиненное outside_access_in tcp eq 500
access-list хозяина XXX.XXX.147.33 любой хозяин XXX.XXX.147.33 разрешение удлиненное outside_access_in tcp eq 1701
access-list любое разрешение удлиненное outside_access_in tcp pptp
access-list eq хозяина XXX.XXX.147.33 любое разрешение удлиненное outside_access_in tcp eq 4125
access-list хозяина XXX.XXX.147.33 любой udp разрешения eq 4500
access-list хозяина XXX.XXX.147.33 удлиненный outside_access_in любое разрешение удлиненное outside_access_in tcp ntp
access-list eq хозяина XXX.XXX.147.33 любое eq 987
pager хозяина XXX.XXX.147.33 выравнивает informational
mtu asdm enable
logging 24
logging внутри 1500
mtu вне бассеина RemoteUserAccess 192.168.1.50 dmz 1500
ip 1500
mtu местного - изображения disk0 разрывать-размера 1
asdm тариф-предела 1
icmp 255.0.0.0 маски 192.168.1.59 unreachable: перерыв 14400
global enable
arp истории /asdm-625-53.bin
asdm (снаружи) 1 interface
nat (внутрь) 1 outside_access_in
access-group 255.255.255.255 netmask
static 255.255.255.255 netmask
static 0.0.0.0 0.0.0.0 (внутрь, снаружи) XXX.XXX.147.33 192.168.1.2 (внутрь, снаружи) XXX.XXX.147.34 XXX-XXX-SBS в outside
route поверхности стыка вне 3:00 xlate 0.0.0.0 0.0.0.0 10.1.10.1 1
timeout: 1:00 conn 00
timeout: 00 half-closed 0:10: 00 0:02 udp: 00 0:00 icmp: 0:10 sunrpc 02
timeout: 00 0:05 h323: 00 1:00 h225: 00 0:05 mgcp: 00 mgcp-pat 0:05: 0:30 глоточка 00
timeout: 00 0:02 sip_media: 00 sip-приглашают 0:03: 00 sip-отключают 0:02: 0:02 sip-временный-средств 00
timeout: 00 0:05 uauth: 00 0:01 tcp-полномочи-разборки absolute
timeout: contact
snmp-server snmp-сервера location
no snmp-сервера inside
no enable
http 192.168.1.0 255.255.255.0 сервера LOCAL
http пульта telnet удостоверения подлинности 00
dynamic-access-policy-record DfltAccessPolicy
aaa включает ловушки соединение sysopt coldstart
no linkdown соединения удостоверения подлинности snmp, котор позволяет-vpn
crypto noproxyarp outside
sysopt noproxyarp inside
sysopt noproxyarp/>sysopt преобразовывать-установило pfs outside_dyn_map 20 динамическ-карты килобайт 4608000
crypto продолжительности жизни обеспеченност-ассоциации ipsec секунд 28800
crypto продолжительности жизни обеспеченност-ассоциации ipsec esp-sha-hmac
crypto ESP-3DES-SHA esp-3des установленные комплект outside_dyn_map 20 динамическ-карты group1
crypto преобразовывать-установил pfs outside_dyn_map 40 динамическ-карты ESP-3DES-SHA
crypto установленные комплект outside_dyn_map 40 динамическ-карты group1
crypto преобразовывать-установил ipsec-isakmp outside_map 65535 карты ESP-3DES-SHA
crypto динамическое isakmp outside
crypto поверхности стыка outside_map карты outside_dyn_map
crypto включает группу sha
хэша шифрования 3des
pre-share
удостоверения подлинности политики 10
isakmp outside
crypto outside
auto_config перерыва 0
dhcpd перерыва 30
console inside
ssh enable
ssh 192.168.1.0 255.255.255.0 перерыва 30
ssh inside
telnet crypto isakmp nat-traversal
telnet 192.168.1.0 255.255.255.0 продолжительности жизни 86400
no 2
scopy! адрес 192.168.1.61
dhcpd - уточнение dns inside
dhcpd поверхности стыка домена XXX.LOCAL inside
dhcpd поверхности стыка ping_timeout 120 inside
dhcpd поверхности стыка аренды 259200 inside
dhcpd поверхности стыка 192.168.1.2 выигрышей inside
dhcpd поверхности стыка inside
dhcpd dns 192.168.1.2 192.168.1.95 оба inside
dhcpd поверхности стыка включает inside
! пароль значения XXX.LOCAL
username не выполнять обязательство-домена IPSec
vpn-тоннел-протокола
192.168.1.60 значения dns-сервера attributes
internal
group-policy RemoteUserAccess2 tcp-intercept
webvpn
group-policy RemoteUserAccess2 статистик угроз-обнаружения доступа-list
no статистик protocol
threat-detection статистик port
threat-detection статистик

threat-detection основной-threat
threat-detection шифровал тип дистанционную-access
vpn-групп-политики RemoteUserAccess2
tunnel-group RemoteUserAccess2 attributes
привилегированности 0
username пароля vpn-групп-политики RemoteUserAccess2
username attributes
привилегированности 15
username пароля vpn-групп-политики RemoteUserAccess2
username attributes
привилегированности 15
username ый ый eap-proxy
tunnel-group-map удостоверения подлинности удостоверения подлинности ms-chap-v2
pap
удостоверения подлинности *
tunnel-group RemoteUserAccess2 ppp-attributes
pre-делить-ключа ipsec-attributes
не выполнять обязательство-групп-политики RemoteUserAccess2
tunnel-group RemoteUserAccess2 RemoteUserAccess
адресовать-бассеина/>tunnel-group RemoteUserAccess2 вообще-attributes
! не выполнять обязательство-осмотр-traffic
спички
class-map глобальный-class
!
! тип
policy-map проверяет тип максимума 512
policy-map глобальный-policy
сообщени-длины parameters
preset_dns_map
dns глобальные, котор/> проверяют dns
проверяют esmtp
проверяют ftp
проверяют h323 h225
проверяют h323 ras
проверяют ip-options
проверяют netbios
проверяют rsh
проверяют rtsp
проверяют sip
проверяют skinny
проверяют sqlnet
проверяют sunrpc
проверяют tftp
проверяют xdmcp
! профиль CiscoTAC-1
context
call-home
именени ведущего
prompt global
smtp-server 192.168.1.2 глобальный-политики
service-policy отсутствие rel= " nofollow " " _blank " " target= " https://tools.cisco.com/its/service/oddce/services/DDCEService href= > телеметрии подписывать-к-бдительн-группы monthly
конфигурации подписывать-к-бдительн-группы monthly
инвентаря подписывать-к-бдительн-группы environment
подписывать-к-бдительн-группы diagnostic
подписывать-к-бдительн-группы http
транспортировать-метода назначения электронная почта [email protected]
адреса назначения s/service/oddce/services/DDCEService
https://tools.cisco.com/it daily
Cryptochecksum периодической периодической периодическое: Другие протоколы/>XX

All получают к серверу - как раз не SMTP!  Я проверил с ISP - они говорят что они не преграждайте движение SMTP - я пропавш здесь??!? class=

Ответ : Вопрос Cisco ASA NAT

Нашл немного других вещей…

Отсутствие прибывающего ИЛИ уходящего за границу SMTP, но согласно компании предоставляющей услуги кабельного телевидения - отсутствие фильтровать.  Мы reverted к ранее цепи, и как только поверхность стыка IPs, etc была изменена для старой цепи, тогда вещам немедленно работали.

Hmmm - я буду никаким научным работником ракеты - но вещи смотрит довольно плохим для компании предоставляющей услуги кабельного телевидения

/Chris.