inbound acl su switch 2960 e comunicazione SMTP interrotta

[lluca]

Ciao a tutti,
ho un server smtp (xx.yy.zz.xx) collegato ad uno switch 2960 il quale è collegato a sua volta ad internet tramite un router fornito dall'ISP.

sulla porta dello switch collegata verso il router, ho creato una acl IN in questo modo:

access-list 101 permit tcp any host xx.yy.zz.xx eq smtp
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any echo
access-list 101 permit udp any eq domain any gt 1023
access-list 101 permit udp any eq domain any eq domain
access-list 101 permit tcp any eq domain any gt 1023
access-list 101 permit tcp any any established
access-list 101 deny ip any any

il problema è che quando questo server comunica con altri server SMTP (non tutti !), la comunicazione viene interrotta malamente e il server SMTP di destinazione non consegna il mail all'utente finale.

Ho provato poi a cambiare l'acl, aprendo tutto verso il server

access-list 101 permit ip any host xx.yy.zz.xx
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any echo
access-list 101 permit udp any eq domain any gt 1023
access-list 101 permit udp any eq domain any eq domain
access-list 101 permit tcp any eq domain any gt 1023
access-list 101 permit tcp any any established
access-list 101 deny ip any any

e cosi funziona perfettamente!
Da tenere presente che le altre definizione non in grassetto sono definite in quanto servono ad altri server qui non elencati.

Qualcuno mi sa dare una spiegazione ? Il servizio SMTP ha sempre utilizzato la porta 25, non riesco a capire cos'è che c'è di sbagliato nella prima acl...

Vi ringrazio
Ciao
Luca

[xent]

Ciao,

tendenzialmente ti dico che non mi sembra un'ottima idea usare le acl su quel genere di traffico su uno switch l2.

Sicuramente i problemi derivano dal fatto che non hai nessun controllo sul traffico di ritorno, non essento un firewall statefull non fa inspecting.


Leo

[lluca]

grazie Leo per l'info