热的 Downloads

×

注意

该论坛处于只读模式。
Welcome, 来宾
Username: Password: Remember me
  • 页:
  • 1
  • 2

TOPIC:

允许传入消息到SMTP服务器 12年4个月之前 #27466

大家好,我的设计如下:

DSL调制解调器
路由器2801
ASA 5505 ----前端Exhange 2007(SMTP服务器)

您能否指导我介绍我需要做的程序,以允许来自我们的ISP的传入消息通过路由器ASA传递到我们的SMTP服务器。

我们的ISP只会将smtp流量转发(中继)给我们,因此传入的邮件将不会存储在我们的ISP服务器上,它们只会简单地禁止任何传入的邮件发送给我们,并将其存储在SMTP服务器上。

我想知道我应该怎么想才能做到这一点。我应该允许从外部到内部传递给我的SMTP服务器什么。

我只需要在路由器和ASA上创建ACL即可将来自端口25的流量传递到我们的SMTP服务器?

回复:允许传入的消息到SMTP服务器 12年4个月之前 #27482

Hello Sys-halt ,

关于您的网络设计,如果防火墙正在执行NAT,则必须创建NAT或PAT转换(取决于您的要求)。

考虑这样的情况:

ASA 5505(翻译)----前端Exhange 2007(SMTP服务器)

也就是说,转换是由防火墙而不是路由器完成的。

一世 。假设您的内部电子邮件服务器的IP是 192.168.10.10 .
ii。假设您有一个公共IP x.x.x.x
iii。假设您需要在z端口(pop或imap)上引导流量。并假设您已经将外部ACL配置为outside_acl。


根据这种情况,防火墙在进行nat翻译,您将需要在防火墙上使用以下语句。

1.静态(内部,外部) tcp x.x.x.x z <a class="bbcode_url" href="http://192.168.10.10" target="_blank" rel="nofollow noopener noreferrer">192.168.10.10</a> z netnask <a class="bbcode_url" href="http://255.255.255.255" target="_blank" rel="nofollow noopener noreferrer">255.255.255.255</a>
(此语句将命中端口a上的公共ip x.x.x.x的所有流量重定向到192.168.10.10(电子邮件服务器)端口z。
2.您需要外部接口上的适当访问列表以允许流量
访问列表outside_acl允许tcp任何主机x.x.x.x eq z



考虑到防火墙,这两个陈述就足够了。

如果您有任何疑问,请告诉我。

谢谢
露台

回复:允许传入的消息到SMTP服务器 12年4个月之前 #27494

您好露台,非常感谢您的答复。我一旦开始工作,今天就开始研究。

是的,我的防火墙正在为内部接口和外部接口的dmz1接口做一个nat。

我的外部接口的IP 172.17.1.1 连接到我的路由器的内部接口 172.17.1.2 。然后从路由器路由到Internet。


我确实尝试了您的建议。

我还尝试允许远程桌面连接从外到内:

访问列表110扩展许可tcp任何主机 172.17.1.1 eq 3389
静态(dmz1,外部) 172.17.1.1 192.168.1.3 网络掩码 255.255.255.255
外部接口中的访问组110

我的SMTP服务器IP是: 192.168.1.3
我的外部ASA接口IP是: 172.17.1.1

所以我试图允许RDP从外部接口通过ASA通过我的smtp服务器

我首先认为,如果工作正常,我将执行相同的访问列表以允许端口25的smtp通信。

回复:允许传入的消息到SMTP服务器 12年4个月之前 #27495

我已经读到,因为我正在防火墙上进行NAT,所以必须创建一个映射的IP地址,而不要在IP之外使用我的防火墙。

就像我的外部IP是 172.17.1.1 我将不得不在相同的子网中创建一个映射的IP 172.17.1.5 并将此IP映射到我的内部服务器。

但我不知道那是什么意思。如何在防火墙外部接口上创建映射的IP。

这个想法是真的吗?

回复:允许传入的消息到SMTP服务器 12年4个月之前 #27496

好的,我刚刚在Cisco网站上找到了一篇有关PIIX / ASA NAT和PAT的文章,文档ID:64758。我发现映射的IP只是我在NAT创建期间创建的全局池范围之一。我在ASA的外部接口上做了一个范围为172.17.1.100-172.17.1.150的NAT池,因此映射的IP地址是我指定的IP地址范围之一,例如 172.17.1.110

所以听起来我必须映射此IP,而不要使用我的ASA真实IP接口 172.17.1.1 :-)

我应该尽快尝试。感谢你的帮助。我会尽快与您联系。

回复:允许传入的消息到SMTP服务器 12年4个月之前 #27497

在外部创建池也是正确的,但是创建池不是强制性的。

您甚至无需定义池就可以执行静态操作。

说你外面有一个ip 172.17.1.149

您只需忘记池并定义一个static即可:

静态(内部,外部) 172.17.1.149 内部IP子网掩码 255.255.255.0

访问列表110扩展许可tcp任何主机 172.17.1.149 eq port-you-想要。

在您的情况下,您似乎有多个外部ip,因此您可以创建一个静态nat而不是PAT。

谢谢
露台
  • 页:
  • 1
  • 2
建立页面的时间:0.114秒

CCENT / CCNA

思科公司 Routers

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec VPN
  • IPSec模式

思科公司 Help

  • 视窗 8 VPN客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置