pali 10 Geschrieben 21. Februar 2005 Melden Teilen Geschrieben 21. Februar 2005 Hallo zusammen Der Router ist an einem cable modem angeschlossen und holt per dhcp seine IP vom Provider. Im Lan befindet sich ein Mailserver, bei dem nur die private Adresse fürs LAN eingerichtet wurde. Neben der per DHCP vergebenen IP-Adresse ist ein 8er Block offizieller IP-Adressen ebenfalls im Paket enthalten. Anfragen auf diese IP-Adressen werden vom ISP auf den Router geroutet. Eine IP von den effektiv 6 nutzbaren habe ich per statischem NAT dem Mailserver zugewiesen. In der Firewall des Cisco Routers wurde die IP-Adresse mit den genutzten Ports zugänglich gemacht. Nun zum Problem: Der Router blockiert die Antworten auf die vom Mailserver geschickten Anfragen. D.h. 3-way-handshaking klappt, alles auf smtp basierendes wird vom router abgelehnt. Seltsamerweise werden Anfragen an den Mailserver von aussen durchgelassen und werden nicht unterbrochen. Wenn ich das statische NAT deaktiviere und von aussen auf die Adresse des Mailserver zugreifen will erscheint "421 SMTP service not available, closing transmission channel". Das sieht verdächtig nach einem SMTP-Proxy aus, jetzt fragt sich, ob es an dem liegt und ob der deaktivierbar ist. Hat hier jemand schon ähnliche Erfahrungen gemacht und kennt vielleicht ein Weg aus dem Dilemma? Ich danke schonmal für eure Hilfe. Gruss pali Zitieren Link zu diesem Kommentar
pali 10 Geschrieben 22. Februar 2005 Autor Melden Teilen Geschrieben 22. Februar 2005 habe ein update der Firmware auf 2.1 gemacht, jedoch half das nicht drüber weg. Mir ist noch folgender Gedanke durch den Kopf: kann es sein, dass bei einem statischen NAT die Regeln für den eingehenden Traffic nicht angepasst wird, wenn die Verbindung von innen nach aussen aufgebaut wird? D.h. wenn ich eine verbindung von bsp. intern rechner1 port 11100 nach extern rechner2 port 25 aufbaue, müsste die Firewall den port 11100 für den entgegengesetzten Datentransfer öffnen, da dieser als Ziel Rechner1 port 11100 hat. (bitte denkt dran, dass es ein statisches NAT ist, hier wird kein PAT nötig, da es nur eine IP zu translatieren gibt) Gruss pali Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 22. Februar 2005 Melden Teilen Geschrieben 22. Februar 2005 Hi, ein "show runn" würde sehr weiterhelfen... Zitieren Link zu diesem Kommentar
pali 10 Geschrieben 1. April 2005 Autor Melden Teilen Geschrieben 1. April 2005 (ups, hatte mein mcseboard-passwort verlegt und die richtige meiner x-1000 emailadressen nicht mehr gewusst, um das passwort neu zu setzen - ging deshalb etwas länger ;) hier das config-file: (offizielle Server-IP ist im Internet zugänglich, diese wird auf dem Router per statischem NAT auf IP 10.41.70.20, dem Mailserver weitergeleitet.) ----part1---- !This is the running config of the router: 10.41.70.2 !---------------------------------------------------------------------------- !version 12.3 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname InetRouter ! boot-start-marker boot-end-marker ! security authentication failure rate 3 log security passwords min-length 6 logging buffered 51200 debugging logging console critical enable secret 5 <unwichtig> ! username <unwichtig> privilege 15 secret 5 <unwichtig> clock timezone PCTime 1 clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00 aaa new-model ! ! aaa authentication login default local aaa authentication login sdm_vpn_xauth_ml_1 local aaa authorization exec default local aaa authorization network sdm_vpn_group_ml_1 local aaa session-id common ip subnet-zero no ip source-route ! ! ! ! ip tcp synwait-time 10 ip domain name <unwichtig> ip name-server 10.41.70.1 no ip bootp server ip cef ip inspect name sdm_ins_in_100 cuseeme ip inspect name sdm_ins_in_100 ftp ip inspect name sdm_ins_in_100 h323 ip inspect name sdm_ins_in_100 netshow ip inspect name sdm_ins_in_100 rcmd ip inspect name sdm_ins_in_100 realaudio ip inspect name sdm_ins_in_100 rtsp ip inspect name sdm_ins_in_100 sqlnet ip inspect name sdm_ins_in_100 streamworks ip inspect name sdm_ins_in_100 tftp ip inspect name sdm_ins_in_100 udp ip inspect name sdm_ins_in_100 vdolive ip inspect name sdm_ins_in_100 icmp ip inspect name DEFAULT100 cuseeme ip inspect name DEFAULT100 ftp ip inspect name DEFAULT100 h323 ip inspect name DEFAULT100 icmp ip inspect name DEFAULT100 netshow ip inspect name DEFAULT100 rcmd ip inspect name DEFAULT100 realaudio ip inspect name DEFAULT100 rtsp ip inspect name DEFAULT100 sqlnet ip inspect name DEFAULT100 streamworks ip inspect name DEFAULT100 tcp ip inspect name DEFAULT100 tftp ip inspect name DEFAULT100 udp ip inspect name DEFAULT100 vdolive ip audit notify log ip audit po max-events 100 ip ssh time-out 60 ip ssh authentication-retries 2 no ftp-server write-enable no scripting tcl init no scripting tcl encdir ! ! ! ! ! crypto isakmp policy 1 <unwichtig> ! crypto isakmp policy 3 <unwichtig> ! crypto isakmp client configuration group <unwichtig> wins 10.41.70.20 pool SDM_POOL_1 ! ! crypto <unwichtig> ! crypto dynamic-map SDM_DYNMAP_1 1 set transform-set <unwichtig> reverse-route ! ! crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1 crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1 crypto map SDM_CMAP_1 client configuration address respond crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 ! ! ! ! interface FastEthernet0 description $FW_OUTSIDE$$ETH-WAN$$INTF-INFO-10/100 Ethernet$ ip address dhcp client-id FastEthernet0 ip access-group 101 in no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip inspect sdm_ins_in_100 in ip inspect DEFAULT100 out ip route-cache flow speed auto no cdp enable crypto map SDM_CMAP_1 ! Zitieren Link zu diesem Kommentar
pali 10 Geschrieben 1. April 2005 Autor Melden Teilen Geschrieben 1. April 2005 ----part2---- interface FastEthernet1 no ip address no cdp enable ! interface FastEthernet2 switchport access vlan 2 no ip address no cdp enable ! interface FastEthernet3 no ip address shutdown no cdp enable ! interface FastEthernet4 no ip address shutdown no cdp enable ! interface Vlan2 description $FW_INSIDE$ ip address 10.41.70.2 255.255.255.0 ip access-group 100 in ip nat inside ! interface Vlan1 ip address 10.10.10.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow ! ip local pool SDM_POOL_1 10.41.70.160 10.41.70.190 ip nat translation max-entries 100 ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0 overload ip nat inside source static 10.41.70.20 <offizielle Server-IP> extendable ip classless ip http server ip http authentication local ip http secure-server ! ! ! Zitieren Link zu diesem Kommentar
pali 10 Geschrieben 1. April 2005 Autor Melden Teilen Geschrieben 1. April 2005 ----part3---- logging trap debugging logging 10.41.70.20 access-list 1 remark INSIDE_IF=Vlan2 access-list 1 remark SDM_ACL Category=2 access-list 1 permit 10.41.70.0 0.0.0.255 access-list 100 remark auto generated by SDM firewall configuration access-list 100 remark SDM_ACL Category=1 access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 100 permit ip any any access-list 101 remark auto generated by SDM firewall configuration access-list 101 remark SDM_ACL Category=1 access-list 101 permit tcp any host <offizielle Server-IP> range smtp pop3 access-list 101 remark Auto generated by SDM for NTP (123) swisstime.ethz.ch access-list 101 permit udp host 129.132.2.21 eq ntp any eq ntp access-list 101 permit ip host 10.41.70.160 any access-list 101 permit ip host 10.41.70.161 any access-list 101 permit ip host 10.41.70.162 any access-list 101 permit ip host 10.41.70.163 any access-list 101 permit ip host 10.41.70.164 any access-list 101 permit ip host 10.41.70.165 any access-list 101 permit ip host 10.41.70.166 any access-list 101 permit ip host 10.41.70.167 any access-list 101 permit ip host 10.41.70.168 any access-list 101 permit ip host 10.41.70.169 any access-list 101 permit ip host 10.41.70.170 any access-list 101 permit ip host 10.41.70.171 any access-list 101 permit ip host 10.41.70.172 any access-list 101 permit ip host 10.41.70.173 any access-list 101 permit ip host 10.41.70.174 any access-list 101 permit ip host 10.41.70.175 any access-list 101 permit ip host 10.41.70.176 any access-list 101 permit ip host 10.41.70.177 any access-list 101 permit ip host 10.41.70.178 any access-list 101 permit ip host 10.41.70.179 any access-list 101 permit ip host 10.41.70.180 any access-list 101 permit ip host 10.41.70.181 any access-list 101 permit ip host 10.41.70.182 any access-list 101 permit ip host 10.41.70.183 any access-list 101 permit ip host 10.41.70.184 any access-list 101 permit ip host 10.41.70.185 any access-list 101 permit ip host 10.41.70.186 any access-list 101 permit ip host 10.41.70.187 any access-list 101 permit ip host 10.41.70.188 any access-list 101 permit ip host 10.41.70.189 any access-list 101 permit ip host 10.41.70.190 any access-list 101 permit udp any any eq non500-isakmp access-list 101 permit udp any any eq isakmp access-list 101 permit esp any any access-list 101 permit ahp any any access-list 101 permit udp any eq bootps any eq bootpc access-list 101 permit icmp any any echo access-list 101 permit icmp any any echo-reply access-list 101 permit icmp any any time-exceeded access-list 101 permit icmp any any unreachable access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip host 255.255.255.255 any access-list 101 deny ip any any log access-list 102 remark SDM_ACL Category=2 Zitieren Link zu diesem Kommentar
pali 10 Geschrieben 1. April 2005 Autor Melden Teilen Geschrieben 1. April 2005 ----part4---- access-list 102 deny ip any host 10.41.70.160 access-list 102 deny ip any host 10.41.70.161 access-list 102 deny ip any host 10.41.70.162 access-list 102 deny ip any host 10.41.70.163 access-list 102 deny ip any host 10.41.70.164 access-list 102 deny ip any host 10.41.70.165 access-list 102 deny ip any host 10.41.70.166 access-list 102 deny ip any host 10.41.70.167 access-list 102 deny ip any host 10.41.70.168 access-list 102 deny ip any host 10.41.70.169 access-list 102 deny ip any host 10.41.70.170 access-list 102 deny ip any host 10.41.70.171 access-list 102 deny ip any host 10.41.70.172 access-list 102 deny ip any host 10.41.70.173 access-list 102 deny ip any host 10.41.70.174 access-list 102 deny ip any host 10.41.70.175 access-list 102 deny ip any host 10.41.70.176 access-list 102 deny ip any host 10.41.70.177 access-list 102 deny ip any host 10.41.70.178 access-list 102 deny ip any host 10.41.70.179 access-list 102 deny ip any host 10.41.70.180 access-list 102 deny ip any host 10.41.70.181 access-list 102 deny ip any host 10.41.70.182 access-list 102 deny ip any host 10.41.70.183 access-list 102 deny ip any host 10.41.70.184 access-list 102 deny ip any host 10.41.70.185 access-list 102 deny ip any host 10.41.70.186 access-list 102 deny ip any host 10.41.70.187 access-list 102 deny ip any host 10.41.70.188 access-list 102 deny ip any host 10.41.70.189 access-list 102 deny ip any host 10.41.70.190 access-list 102 permit ip 10.41.70.0 0.0.0.255 any no cdp run ! route-map SDM_RMAP_1 permit 1 match ip address 102 ! ! control-plane ! banner login ^CAuthorized access only! Disconnect IMMEDIATELY if you are not an authorized user!^C ! line con 0 transport output telnet line aux 0 transport output telnet line vty 0 4 transport input telnet ssh line vty 5 15 transport input telnet ssh ! scheduler allocate 4000 1000 scheduler interval 500 ntp clock-period 17179925 ntp server 129.132.2.21 prefer ! end Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.