TOPIC:

大家好，本网站上的重要信息，以为也许有人可以提供有关此问题的建议。

我们正在使用ASDM gui通过管理端口访问路由器/防火墙硬件。请注意，无论是gui还是命令行，这里没有人有任何重要的使用经验。

我的公司已要求我们为其拥有的2个域中的一个域设置内部电子辽宁十一选五走势图一百期服务器。在网络内部，任何辽宁十一选五走势图一百期客户端都可以连接到电子辽宁十一选五走势图一百期服务器，甚至可以将流量发送到其他辽宁十一选五走势图一百期服务器。

但是，您可以想象，端口25对网络外部的任何人都是封闭的。通过我们在该站点以及其他站点上所做的研究，我们了解到：1）必须有一条规则允许smtp流量通过防火墙，以及2）必须将流量正确路由到专用内部电子辽宁十一选五走势图一百期服务器地址。

我不了解的是思科硬件如何与我们的内部DNS服务器交互。我们设置了访问规则，以允许使用smtp端口25的任何外部主机看到我们的公共外部IP地址，并认为Cisco硬件将能够看到我们的内部DNS记录并将此流量正确转发到我们的电子辽宁十一选五走势图一百期服务器。

其他人说我们必须创建某种NAT规则，以将我们的外部IP地址直接映射到辽宁十一选五走势图一百期服务器的私有内部IP地址，但是我们很犹豫这样做，因为1）我们担心到我们的外部IP的所有流量将最终映射到电子辽宁十一选五走势图一百期服务器和/或2）即使我们仅指定smtp / imap服务以按配置使用NAT，所有smtp流量也将流向电子辽宁十一选五走势图一百期服务器，我们不希望bc我们有smtp流量我们网络上的其他第三方电子辽宁十一选五走势图一百期提供商也是如此。

如果有人可以提供一些技巧或链接，我们将不胜感激。本质上：我们希望一个域中的一个域的电子辽宁十一选五走势图一百期流量能够被适当地传递并路由到我们已设置的相应内部电子辽宁十一选五走势图一百期服务器，并使用gui来做到这一点。

干杯，
杰伊

Hey 周杰伦

我想我知道您想做什么，但让我确认几件事好吗？

并认为思科硬件将能够查看我们的内部DNS记录并将此流量正确转发到我们的电子辽宁十一选五走势图一百期服务器。

您是否要使用MX记录（例如 mail.company.com）在您的内部网络上发送辽宁十一选五走势图一百期？在这种情况下，您将需要使用DNS篡改。因为 mail.company.com points to the outside IP adres of the ASA you cant use it from the inside network. The ASA will see this as an IP spoofing attack and block it unless you use the 域名系统 keyword at the end of your static NAT translation.

其他人说我们必须创建某种NAT规则，才能将我们的外部IP地址直接映射到辽宁十一选五走势图一百期服务器的私有内部IP地址

是的，这是真的。为了在ASA上使用DNS篡改，您将需要进行所谓的一对一转换。这意味着1个内部IP地址对应1个外部IP地址。

我们担心到外部IP的所有流量最终都将映射到电子辽宁十一选五走势图一百期服务器

不用担心，您仍然需要允许带有访问列表的流量。默认情况下，外部接口的安全级别为0，内部接口的安全级别为100。除非另行配置，否则流量始终可以从高到低，但是从低到高。

即使我们仅指定smtp / imap服务来使用配置的NAT，所有的smtp流量也都将流向电子辽宁十一选五走势图一百期服务器，我们不希望因为我们网络上其他第三部分电子辽宁十一选五走势图一百期提供商的smtp流量也是如此。

如果您有一系列的公共IP地址，则可以为自己或第三方辽宁十一选五走势图一百期服务器选择一个不同的公共IP地址。请记住，如果您切换IP地址，则必须更改MX记录。

我们希望适当地允许一个域中的几个域的电子辽宁十一选五走势图一百期流量通过并路由到我们已设置的相应内部电子辽宁十一选五走势图一百期服务器，

同样，使用访问列表是可能的。

并使用gui这样做。

好吧，嗯，是的，在gui的“工具”部分下有个不错的东西。它被称为命令行界面

如果您可以确认这是您想要的，那么我可以为您提供帮助。

问候，
罗恩

罗恩你好，谢谢您的回复。我会尽我所能，以更好地解释自己。

该网站和域名由以下网站托管 hostmonster.com 在这一刻。我已经在此处成功设置了DNS的MX记录，以指向我们网络的公共IP地址。我用过 checkdns.com 验证它是否尝试连接到它，并且端口25超时。

我们将仅托管该特定域的电子辽宁十一选五走势图一百期。在我们的网络内部，我已经设置了DNS服务器（一台Windows 2003服务器计算机），并在其中放置了mail.thedomain.com区域：A记录 mail.thedomain.com 为了 内部 静态IP地址；和MX记录到 mail.thedomain.com 指向该A记录。我还在托管辽宁十一选五走势图一百期的服务器计算机上设置了DNS（Mac OS X Snow Leopard）以接受对域辽宁十一选五走势图一百期的责任。在我们的网络内部，它就像一种魅力一样工作-我们可以互相发送辽宁十一选五走势图一百期，也可以向世界发送辽宁十一选五走势图一百期。

您是否要使用MX记录（例如 mail.company.com）在您的内部网络上发送辽宁十一选五走势图一百期？在这种情况下，您将需要使用DNS篡改。因为 mail.company.com points to the outside IP adres of the ASA you cant use it from the inside network. The ASA will see this as an IP spoofing attack and block it unless you use the 域名系统 keyword at the end of your static NAT translation.

我遵循您关于ip欺骗的意思，但是有点困惑，因为辽宁十一选五走势图一百期服务器实际上确实可以在网络内部工作，并且可以将辽宁十一选五走势图一百期发送出去（如果我没有看错，总是隐式允许更高到更低的安全性）。你的意思是因为 mail.thedomain.com 我设置的DNS记录存在于我们的网络中，它解释了 mail.thedomain.com 来自hostmonster的DNS的IP欺骗流量？

是的，这是真的。为了在ASA上使用DNS篡改，您将需要进行所谓的一对一转换。这意味着1个内部IP地址对应1个外部IP地址。

好的，是DNS Doctoring是Cisco软件固有的程序，还是需要在顶部安装类似插件的东西？还是仅仅是创建特定政策/规则的术语？我没有在ASDM gui中看到它。

至于进行1-1转换，我认为这意味着将外部ip转换为机器内部ip的NAT规则。如果这样做，是否会将公共地址的所有流量都引导到辽宁十一选五走势图一百期机？我无法完全拥有外部ip地址的端口，因为其他服务已配置为使用它。看来我公司拥有一个IP地址块-您是否建议从该块中获得一个IP的所有权并创建永久的1对1 NAT转换？我不知道我是否有权在我的公司这样做。

另外，我的老板说，思科硬件与我们网络上的DNS服务器交互，我们的DNS条目应自动告诉它如何处理流量，而NAT则没有必要。

不用担心，您仍然需要允许带有访问列表的流量。默认情况下，外部接口的安全级别为0，内部接口的安全级别为100。除非另行配置，否则流量始终可以从高到低，但是从低到高。

好的，我想我明白您的意思。即使我们将外部ip的端口25 SMTP流量映射到内部机器mail.thedomain.com，我们在此处拥有的第二个域的电子辽宁十一选五走势图一百期流量也不会遇到与ITS外部电子辽宁十一选五走势图一百期服务器联系的问题（机架空间是主机）。但是，如果我们在网络上设置第二个电子辽宁十一选五走势图一百期服务器来接管该第二个域怎么办？静态NAT连接不是问题吗？

如果您有一系列的公共IP地址，则可以为自己或第三方辽宁十一选五走势图一百期服务器选择一个不同的公共IP地址。请记住，如果您切换IP地址，则必须更改MX记录。

回到我上面提到的内容，我们最终将要内部化我们在两个不同计算机上拥有的两个域的电子辽宁十一选五走势图一百期。似乎您建议最好的准备方法是，如上所述，从我们拥有的范围/块中专门抓取1 ip，并将其专用于每个域的流量。听起来正确吗？

同样，使用访问列表是可能的。

这就是我认为我们正确的部分。我们创建了一个规则，仅允许外部IP地址的SMTP通信到达内部辽宁十一选五走势图一百期服务器；但是端口仍然超时。老板再次说，防火墙/路由器检出DNS服务器，应该知道将流量路由到该服务器。在我们的网络内部，我可以将smtp会话通过telnet到mail.thedomain.com，因此内部DNS似乎设置正确。最后，似乎我将不得不告诉他他错了，我们必须创建某种NAT规则...？

也许，内部DNS记录已完全关闭。我认为我们按照上述方法进行设置的方法是正确的。

好吧，嗯，是的，在gui的“工具”部分下有个不错的东西。它被称为命令行界面

是的，我们要使用gui的原因是我们可以立即撤消所做的任何错误更改。我没有足够的ASA命令行知识来做到这一点。为了突出说明我们是什么思科新手并给您一个笑声，我们举一个例子：我们不小心在测试中创建了一个规则，该规则颠覆了隐式规则以允许更高级别的规则。>降低安全流量，从而使整个互联网公司瘫痪。 有了gui，我们立即撤消了它-在命令行中，我们可能已经搞砸了。

干杯罗恩，感谢您的投入，我知道我会写文字墙，但是我想做到周全。

Jay,

如果您可以互相发送电子辽宁十一选五走势图一百期给其他人，但是却无法收到它，则可能是ASA中的配置错误。您能否发布ASA的配置（转到工具-> command line ->显示运行）。不要忘记掩盖重要的内容，例如密码和外部IP地址。

回答有关DNS篡改的问题。这只是我们（就像在公司工作的人一样）使用的一个术语。它不是您必须安装的东西。您需要做的就是添加"dns"CLI中静态NAT配置末尾的关键字。


问候，
罗恩



*编辑*

这就是我认为我们正确的部分。我们创建了一个规则，仅允许外部IP地址的SMTP通信到达内部辽宁十一选五走势图一百期服务器；但是端口仍然超时。

有你的问题。您需要像这样制作访问列表：

[code：1] access-list outside_smtp_in允许tcp任何主机"external ip" eq 25[/code:1]

这样，您就可以允许互联网上的任何人将辽宁十一选五走势图一百期发送到您在访问列表中配置的外部IP地址。并且由于您进行了静态NAT转换，因此ASA会将流量转发到正确的内部主机。

您也可以将any命令更改为特定的IP地址，但是那里有很多SMTP服务器...。

再次感谢你提供的建议！我们将不得不擦除并重新安装辽宁十一选五走势图一百期服务器OS（OSX SL），因为它本身具有旧版DNS问题。一旦我们对其进行配置并再次正常工作，我将确保我们尝试您提供的ASA配置。

我还将根据您的要求发布发布的ASA配置副本，其中包含私有数据。我也正在考虑发布我们正在处理的GUI区域的蒙版屏幕截图，以便每个喜欢（学习）此界面的人都可以找到一些答案。

敬请关注...