inbound acl su switch 2960 e comunicazione SMTP interrotta
Inviato: mer 05 ago , 2009 7:34 pm
Ciao a tutti,
ho un server smtp (xx.yy.zz.xx) collegato ad uno switch 2960 il quale è collegato a sua volta ad internet tramite un router fornito dall'ISP.
sulla porta dello switch collegata verso il router, ho creato una acl IN in questo modo:
access-list 101 permit tcp any host xx.yy.zz.xx eq smtp
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any echo
access-list 101 permit udp any eq domain any gt 1023
access-list 101 permit udp any eq domain any eq domain
access-list 101 permit tcp any eq domain any gt 1023
access-list 101 permit tcp any any established
access-list 101 deny ip any any
il problema è che quando questo server comunica con altri server SMTP (non tutti !), la comunicazione viene interrotta malamente e il server SMTP di destinazione non consegna il mail all'utente finale.
Ho provato poi a cambiare l'acl, aprendo tutto verso il server
access-list 101 permit ip any host xx.yy.zz.xx
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any echo
access-list 101 permit udp any eq domain any gt 1023
access-list 101 permit udp any eq domain any eq domain
access-list 101 permit tcp any eq domain any gt 1023
access-list 101 permit tcp any any established
access-list 101 deny ip any any
e cosi funziona perfettamente!
Da tenere presente che le altre definizione non in grassetto sono definite in quanto servono ad altri server qui non elencati.
Qualcuno mi sa dare una spiegazione ? Il servizio SMTP ha sempre utilizzato la porta 25, non riesco a capire cos'è che c'è di sbagliato nella prima acl...
Vi ringrazio
Ciao
Luca
ho un server smtp (xx.yy.zz.xx) collegato ad uno switch 2960 il quale è collegato a sua volta ad internet tramite un router fornito dall'ISP.
sulla porta dello switch collegata verso il router, ho creato una acl IN in questo modo:
access-list 101 permit tcp any host xx.yy.zz.xx eq smtp
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any echo
access-list 101 permit udp any eq domain any gt 1023
access-list 101 permit udp any eq domain any eq domain
access-list 101 permit tcp any eq domain any gt 1023
access-list 101 permit tcp any any established
access-list 101 deny ip any any
il problema è che quando questo server comunica con altri server SMTP (non tutti !), la comunicazione viene interrotta malamente e il server SMTP di destinazione non consegna il mail all'utente finale.
Ho provato poi a cambiare l'acl, aprendo tutto verso il server
access-list 101 permit ip any host xx.yy.zz.xx
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any echo
access-list 101 permit udp any eq domain any gt 1023
access-list 101 permit udp any eq domain any eq domain
access-list 101 permit tcp any eq domain any gt 1023
access-list 101 permit tcp any any established
access-list 101 deny ip any any
e cosi funziona perfettamente!
Da tenere presente che le altre definizione non in grassetto sono definite in quanto servono ad altri server qui non elencati.
Qualcuno mi sa dare una spiegazione ? Il servizio SMTP ha sempre utilizzato la porta 25, non riesco a capire cos'è che c'è di sbagliato nella prima acl...
Vi ringrazio
Ciao
Luca