Fråga : Cisco ASA NAT utfärdar

Orientering:

There är en kabel g modemapparaten med tilltalar efter:
Internal har kontakt: 10.1.10.1
External har kontakt: Inre XXX.XXX.147.33

The har kontakt förbinds direkt till utsidan har kontakt av en utsida för ASA5505

ASA5505 har kontakt: inre 10.1.10.2
ASA5505 har kontakt: serveren för utbytet för 192.168.1.1

An (SBS) är sammanträde på 192.168.1.2 och ordnar till för att motta mail.

RDP, och andra protokoll fungerar fint, men SMTP är inte.  Allt SMTP-flöde kommer till och med Postini (Google) för hygien.  SMTP får en SYN och tider ut anslutningen.  Den sanitized configen är här: sh config
för

ciscoasa#: Saved
: Skriftligt vid enable_15 på 12:56: 23.279 EDT Måndag Jun 21 2010
!
för version 8.2 för
ASA (2)! beskrivning XXX för encrypted
names
name 192.168.1.250 XXX-XXX-SBS för encrypted
passwd för lösenord för ciscoasa
domain-name/>enable för
hostname har kontakt på XXX-SBS
name 192.168.1.203 XXX-XXXAPP01 beskrivning XXX har kontakt på beskrivning XXX för XXXAPP01
name 192.168.1.204 XXX-XXXAPP02 har kontakt på beskrivningen XXXAPP02 Server
för beskrivningen XXXAPP01 Server
name 192.168.1.4 XXXAPP02 för XXXAPP02
name 192.168.1.3 XXXAPP01! nameifinside
för
interface Vlan1
säkerhet-jämnar ddns för 100
, för 192.168.1.1 255.255.255.0 för IPet address för both
för serveren för dns för uppdateringen för beställaren för dhcp för uppdateringhostname192.168.1.2
ospf
kostar för ospf-legitimation för 10
null
! nameifoutside
för
interface Vlan2
säkerhet-jämnar för IP address10.1.10.2 255.255.255.0 för 0
ospf
kostar 10
! shutdown
för
interface Vlan3
som inga framåt har kontakt nameifdmz
för Vlan1
, säkerhet-jämnar för IP addressdhcp
för 50
ospf kostar 10
! switchporten för
interface Ethernet0/0
tar fram vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!system disk0 för
boot: system disk0 för /asa822-k8.bin
boot: för funktionslägepassive
clock för /asa724-k8.bin
ftp område-referens för recurring
dns för summer-time EDT för EST -5
clock för timezonen inside
dns server-grupperar RDP för det inter-interface
same-security-traffic för den DefaultDNS
domainen-name ifi.local
same-security-traffic för tillstånd intra-interface
object-group tjänste- tillstånd som tcp
port-anmärker eq 3389
object-group knyter kontakt Postini
knyta kontakt-anmärker 207.126.144.0 255.255.240.0
knyta kontakt-anmärker 64.18.0.0 255.255.240.0
knyta kontakt-anmärker fördjupade tillstånd tcp för 74.125.149.0 255.255.255.0
access-list det outside_access_in, något något fördjupat tillstånd tcp för eq 3389
access-list outside_access_in vara värd tillstånd any tcp för smtp
access-list för eq XXX.XXX.147.33 fördjupade det outside_access_in varar värd tillstånd any tcp för https
access-list för eq XXX.XXX.147.33 fördjupade det outside_access_in varar värd tillstånd any tcp för https
access-list för eq XXX.XXX.147.34 fördjupade det outside_access_in varar värd XXX.XXX.147.33 any fördjupade tillstånd tcp för eq 444
access-list det outside_access_in varar värd XXX.XXX.147.33 any fördjupade tillstånd tcp för eq 500
access-list det outside_access_in varar värd any XXX.XXX.147.33 fördjupade tillstånd tcp för eq 1701
access-list det outside_access_in varar värd tillstånd any tcp för pptp
access-list för eq XXX.XXX.147.33 fördjupade det outside_access_in varar värd XXX.XXX.147.33 any fördjupade tillstånd tcp för eq 4125
access-list det outside_access_in varar värd XXX.XXX.147.33 any fördjupad tillståndudp för eq 4500
access-list outside_access_in varar värd tillstånd any tcp för ntp
access-list för eq XXX.XXX.147.33 fördjupade det outside_access_in varar värd XXX.XXX.147.33 any eq 987
pager fodrar insida 1500
mtu för informational
mtu om asdm för enable
logging för 24
logging utanför lokal för dmz 1500
ip för 1500
mtu slår samman RemoteUserAccess 192.168.1.50 - 192.168.1.59 maskerar unreachable 255.0.0.0
icmp klassa-begränsar 1 brista-storleksanpassar 1
asdm avbildar disk0: för historieenable
arp för /asdm-625-53.bin
asdm frånslagningstiden 14400
global (utanför) 1 interface
nat (insida) 1 för 255.255.255.255 för netmask för 0.0.0.0 0.0.0.0
static (insida, utanför) XXX.XXX.147.33 192.168.1.2 för 255.255.255.255 för netmask
static (insida, utanför) XXX.XXX.147.34 XXX-XXX-SBS outside_access_in
access-group har kontakt in outside
route utanför 0.0.0.0 0.0.0.0 10.1.10.1 1
timeout xlate3:00: anslutnings-1:00 för 00
timeout: 00 half-closed 0:10: 00 udp-0:02: 00 icmp-0:00: sunrpc0:10 för 02
timeout: 00 0:05 h323: 00 1:00 h225: 00 mgcp0:05: 00 mgcp-klappar 0:05: smutt0:30 för 00
timeout: 00 sip_media0:02: 00 läppja-inviterar 0:03: 00 läppja-kopplar från 0:02: läppja-preliminär-massmedia för 00
timeout 0:02: 00 uauth0:05: 00 tcp-närstående-återmontering för absolute
timeout 0:01: legitimationstelnet för 00
dynamic-access-policy-record DfltAccessPolicy
aaa tröstar för snmp-serveren för inside
no för LOCAL
http serverenable
http 192.168.1.0 255.255.255.0 snmp-serveren location
no contact
snmp-server möjliggör för omforma-uppsättningen ESP-3DES-SHA esp-3des för ipsec för dmz
crypto för noproxyarp för outside
sysopt för noproxyarp för inside
sysopt för noproxyarp för tillstånd-vpn
sysopt för anslutning för sysopt för coldstart
no för linkdown för linkupen för fällasnmp-legitimation säkerhet-anslutningen för ipsec esp-sha-hmac
crypto som livstid understöder för ipsecsäkerhet-anslutning för 28800
crypto kilobyte livstid, 4608000
crypto dynamisk-kartlägger fastställda pfs för outside_dyn_map 20, group1
crypto dynamisk-kartlägger outside_dyn_map, 20 den fastställda omforma-uppsättningen ESP-3DES-SHA
crypto dynamisk-kartlägger fastställda pfs för outside_dyn_map 40, group1
crypto dynamisk-kartlägger outside_dyn_map, 40 den fastställda omforma-uppsättningen ESP-3DES-SHA
crypto kartlägger ipsec-isakmp för outside_map 65535, dynamisk outside_dyn_map
crypto kartlägger outside_map har kontakt isakmp för outside
crypto möjliggör för isakmppolitik 10
för outside
crypto gruppen för sha
för pölsa för kryptering 3des
för pre-share
för legitimation outside
för auto_config för frånslagningstid 0
dhcpd för frånslagningstid 30
console för inside
ssh för enable
ssh 192.168.1.0 255.255.255.0 för frånslagningstid 30
ssh för inside
telnet för crypto isakmp nat-traversal
telnet 192.168.1.0 255.255.255.0 för livstid 86400
no för 2
scopy!
dhcpd tilltalar 192.168.1.61 - 192.168.1.95 inside
dhcpd dns 192.168.1.2 har kontakt segrar för inside
dhcpd som 192.168.1.2 har kontakt arrende 259200 för inside
dhcpd har kontakt ping_timeout 120 för inside
dhcpd har kontakt området XXX.LOCAL för inside
dhcpd har kontakt uppdateringen dns för inside
dhcpd, båda har kontakt inside
dhcpd möjliggör inside
! för statistikport
threat-detection för

threat-detection den grundläggande-threat
threat-detection statistiken för protocol
threat-detection för statistik tar fram-list
nohot-upptäckt statistik, dns-serveren för attributes
för internal
group-policy RemoteUserAccess2 för tcp-intercept
webvpn
group-policy som RemoteUserAccess2 värderar det kodade vpn-gräva-protokollet för 192.168.1.60
IPSec
standardinställa-området värderar lösenord för XXX.LOCAL
username privilegierar vpn-gruppera-politik RemoteUserAccess2
username för attributes
för 15
username lösenord som kodas, privilegierar vpn-gruppera-politik RemoteUserAccess2
username för attributes
för 15
username lösenord som kodas, privilegierar för vpn-gruppera-politik RemoteUserAccess2
tunnel-group RemoteUserAccess2 för attributes
för 0
username fjärrkontrollen-access
tunnel-group RemoteUserAccess2 typ, allmänna-attributes
tilltala-slår samman RemoteUserAccess
standardinställa-gruppera-politik RemoteUserAccess2
tunnel-group RemoteUserAccess2 ipsec-attributes
pre-dela-stämm för legitimationspap
för *
tunnel-group RemoteUserAccess2 ppp-attributes
eap-proxy
tunnel-group-map för legitimation för legitimation ms-chap-v2
standardinställa-grupperar RemoteUserAccess2
! global-class
matchstandardinställa-kontroll-traffic
för
class-map!
! typ för
policy-map kontrollerar meddelande-längd maximum 512
policy-map för parameters
för dns-preset_dns_map
som globala-policy
klassificerar global-class
kontrollerar dns
kontrollerar esmtp
kontrollerar ftp
kontrollerar h323 h225
kontrollerar h323 ras
kontrollerar ip-options
kontrollerar netbios
kontrollerar rsh
kontrollerar rtsp
kontrollerar sip
kontrollerar skinny
kontrollerar sqlnet
kontrollerar sunrpc
kontrollerar tftp
kontrollerar xdmcp
! för global-politik för
service-policy context
call-home
för hostnamen för
prompt global
smtp-server 192.168.1.2 profilerar destination för active
för CiscoTAC-1
ingen tilltalar " för https://tools.cisco.com/its/service/oddce/services/DDCEService " för http- destinationen för https://tools.cisco.com/it s/service/oddce/services/DDCEService
tilltalar destinationstransportera-metoden för e-posten [email protected]
http
prenumerera-till-larma-grupperar diagnostic
prenumerera-till-larma-grupperar environment
prenumerera-till-larma-grupperar inventarium som periodisk monthly
prenumerera-till-larma-grupperar konfigurationen, periodisk monthly
prenumerera-till-larma-grupperar periodisk daily
Cryptochecksum för telemetry: />XX

All andra protokoll får till serveren - precis inte SMTP!  Jag kontrollerade med ISPEN - de något att säga, att de inte blockerar SMTP, trafikerar - vilken förmiddag mig saknaden här??!? " klar "

Svar : Cisco ASA NAT utfärdar

Grunda några annan saker…,

Ingen inbound ELLER outbound SMTP, men enligt kabelbolaget - inget filtrera.  Vi återvände till det föregående går runt, och, så snart som ha kontakt IPs, etc. ändrades för det gammalt går runt, då saker som fungerades omgående.

Hmmm - I-förmiddag ingen raketforskare - men saker ser den snarlika dåligan för kabelbolaget

/Chris.