per non farmi bannare il server...

[ambient]

Ciao a tutti, ho bisogno di una info da qualche esperto del settore.

Ho cercato nel forum ma non ho trovato la soluzione che fa al mio caso.

Il mio problema è il seguente. Ho un pix 515 ver 6.3(4), ultimamente mi stanno tornando indietro un bel po di mail (soprattutto dai paesi dell'est) perchè nel momento in cui verificano l'ind ip del mail server e quello da dove avviene la connessione, sono differenti

il pix ha un ind pubblico xxx.yyy.uuu.254, mentre il mail server xxx.yyy.uuu.250

Mi hanno consigliato di cambiare l'ind pubblico del fw e di farlo diventare xxx.yyy.uuu.250, ma così facendo dovrei andare ad aggiornare tutti i client VPN che ho in giro e direi che non è il caso.

come posso fare per aggirare l'ostacolo?

la soluzione che ha proposto la persona nel link sotto, potrebbe essere utilizzata anche nel mio caso?è corretta?

http://www.ciscoforums.it/viewtopic.php ... hlight=nat

ps:questo forum è ricchissimo di info, complimenti

[Wizard]

Credo di avere capito il problema!
L'ip pubblico con cui ricevi mail è differente da quello con cui le spedisci!
Beh, la soluzione è solo una, invece che fare una regola di static battezzando la porta, falla x IP poi gestisci gli accessi con le acl!

[ambient]

Ciao Wizard,

grazie della risposta

Credo di avere capito il problema!
L'ip pubblico con cui ricevi mail è differente da quello con cui le spedisci!

non proprio, il mio mail server è xxx.yyy.uuu.250, tant'è vero che i dns lo risolvono come xxx.yyy.uuu.250, in effetti però le connessioni avvengono sul xxx.yyy.uuu.254 che è il firewall, il quale sa che se riceve una connessione SMTP sul xxx.yyy.uuu.250 deve dirottarla ad un server interno.

Quello che mi serve sapere è come devo configurare il pix in maniera tale che faccia "credere" ad un mail server esterno che la connessione che sta ricevendo dal mio firewall xxx.yyy.uuu.254, sia la connessione del mio mail server xxx.yyy.uuu.250

ps:ti sarei infinitamente grato se riuscissi a postare 2 righe di config del tutto, o sapermi dire dove posso trovarle.

[Wizard]

Facci vedere uno "sh run" così capiamo meglio

[rebQQtz]

Mi permetto una risposta "non Cisco" ma da sysadmin ...
(sperando comunque di essere utile)

Se gestisci un dominio registrato regolarmente, e hai accesso al DNS, per far tacere i sistemi antispam (Dio li benedica) penso che ti basti aggiustare il (i) record MX del dominio e (eventualmente) il record SPF.

Non credo esistano ancora server tanto schizzinosi da controllare se la risoluzione inversa del server di posta corrisponde,
in questo caso, puoi sempre "regolare" di conseguenza il tuo record MX, ma, piu' facilmente, i filtri si attivano nel caso che il "greeting" del mail server contenga un nome host diverso da quello registrato nel DNS, anche in questo caso, un po' di cacciavite dovrebbe aggiustare le cose con successo ...

Altrimenti ... buon NAT !

[Wizard]

I servizi antispam come prima cosa fanno appunto un reverse lookup...

[ambient]

invece è proprio la reverse che mi frega, sotto trovi l'errore:

450 4.7.1 Client host rejected: cannot find your reverse hostname

il DNS lo gestisce Telecom, adesso sento anche loro cosa mi consigliano di fare.

ho quasi pronto lo sh run. tra un po' lo allego.

grazie intanto

[rebQQtz]

Beh, certo che controllano il reverse lookup, ma basta che ci sia ...

ovvero non importa se "mail.domain.com" sta di casa all'IP 1.2.3.4
e il reverse di 1.2.3.4 risolve come host-4-3.pool2.1.interbusiness.com

Altrimenti i domini virtuali non potrebbero esistere, ad esempio io gestisco 350 domini di posta da un unico ip, che ovviamente ha la risoluzione inversa sul DNS dell' ISP cui e' delegata la zona dal ripe,

Oddio, e' chiaro che se uno imposta il suo filtro in modo che ...

Praticamente nessuno (telecom in testa ...) ti delega una zona di 8/16 ip (anche perche il meccanismo e' piuttosto farraginoso, ancora ... googola "sub c zone delegation")

in ogni caso, se tu metti il record MX con la reverse lookup "vera" del tuo IP e poi fai un CNAME con mail.miodominio.com, salvi capra e cavoli:
il tuo corrispondente schizzinoso (rev=direct)
il tuo cliente (a lui dai il CNAME per configurare la posta)
e l' RFC 821 che si incazza se usi i CNAME per i mail server.

va sans dire che il tuo IP potrebbe *VERAMENTE* non avere il reverse ...

Ciao a tutti.

[ambient]

grazie rebQQtz


intanto vi allego lo sh run:

PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
nameif ethernet0 outside
nameif ethernet1 inside
nameif ethernet2 dmz
enable password
passwd
hostname
access-list acl_out permit tcp any host xxx.yyy.uuu.250 eq smtp
access-list acl_out permit tcp any host xxx.yyy.uuu.250 eq www
access-list acl_out permit tcp any host xxx.yyy.uuu.250 eq pop3
access-list acl_out permit tcp any host xxx.yyy.uuu.250 eq lotusnotes
access-list acl_out permit tcp any host xxx.yyy.uuu.250 eq 3470
access-list acl_out permit tcp any host xxx.yyy.uuu.250 eq 8999
access-list acl_out permit tcp any host xxx.yyy.uuu.250 eq 12173
pager lines 24
logging on
logging buffered debugging
mtu outside
mtu inside
mtu dmz
ip address outside xxx.yyy.uuu.254 255.255.255.240
ip address inside
ip address dmz 111.222.333.254 255.255.255.0
global (outside) 1 interface
global (dmz) 1 interface
nat (inside) 0 access-list no_nat
nat (inside) 1 aaa.bbb.ccc.0 255.255.255.0 0 0
nat (dmz) 0 access-list no_nat
nat (dmz) 1
static (dmz,outside) tcp xxx.yyy.uuu.250 www 111.222.333.250 www netmask 255.255.255.255 0 0
static (dmz,outside) tcp xxx.yyy.uuu.250 pop3 111.222.333.250 pop3 netmask 255.255.255.255 0 0
static (dmz,outside) tcp xxx.yyy.uuu.250 smtp 111.222.333.251 smtp netmask 255.255.255.255 0 0
access-group acl_out in interface outside
access-group acl_in in interface inside
access-group acl_dmz in interface dmz
route outside 0.0.0.0 0.0.0.0 xxx.yyy.uuu.241 1

[Wizard]

In breve:

Codice: Seleziona tutto

no static (dmz,outside) tcp xxx.yyy.uuu.250 www 111.222.333.250 www netmask 255.255.255.255 0 0
no static (dmz,outside) tcp xxx.yyy.uuu.250 pop3 111.222.333.250 pop3 netmask 255.255.255.255 0 0

static (dmz,outside) ip xxx.yyy.uuu.250 111.222.333.250 netmask 255.255.255.255 0 0

access-l acl_dmz permit ip host xxx.yyy.uuu.250 any

[ambient]

Codice: Seleziona tutto

access-l acl_dmz permit ip host xxx.yyy.uuu.250 any

ma così apro tutto, giusto?preferisco tenere aperte le porte che realmente mi servono.

dimenticanza: sul 250 pubblico arrivano anche delle chiamate su altre porte che poi dirotto in dmz su altri server, quindi

Codice: Seleziona tutto

static (dmz,outside) ip xxx.yyy.uuu.250 111.222.333.250 netmask 255.255.255.255 0 0

mi sa che non va bene, vero?

[ambient]

Codice: Seleziona tutto

access-l acl_dmz permit ip host xxx.yyy.uuu.250 any

ma così apro tutto, giusto?preferisco tenere aperte le porte che realmente mi servono.

dimenticanza: sul 250 pubblico arrivano anche delle chiamate su altre porte che poi dirotto in dmz su altri server, quindi

Codice: Seleziona tutto

static (dmz,outside) ip xxx.yyy.uuu.250 111.222.333.250 netmask 255.255.255.255 0 0

mi sa che non va bene, vero?

[Wizard]

Allora, x il problema del aprire tutto nn è un problema poichè con le acl sulla outside regoli solo le porte che vuoi aprire da intenet.
Per il fatto che usi lo stesso ip pubblico su + ip interni qua si che è un problema...
Io proverei così:

Configuri la static come prima x porta
crei un global con l'ip pubblico -.250 e fai una regola di nat (pat) x fare uscire il server con quel global

[ambient]

grazie Wizard in settimana provo la soluzione che mi ha dato e poi ti dico.