Pagina 1 di 1
per non farmi bannare il server...
Inviato: ven 30 mag , 2008 2:43 pm
da ambient
Ciao a tutti, ho bisogno di una info da qualche esperto del settore.
Ho cercato nel forum ma non ho trovato la soluzione che fa al mio caso.
Il mio problema è il seguente. Ho un pix 515 ver 6.3(4), ultimamente mi stanno tornando indietro un bel po di mail (soprattutto dai paesi dell'est) perchè nel momento in cui verificano l'ind ip del mail server e quello da dove avviene la connessione, sono differenti
il pix ha un ind pubblico xxx.yyy.uuu.254, mentre il mail server xxx.yyy.uuu.250
Mi hanno consigliato di cambiare l'ind pubblico del fw e di farlo diventare xxx.yyy.uuu.250, ma così facendo dovrei andare ad aggiornare tutti i client VPN che ho in giro e direi che non è il caso.
come posso fare per aggirare l'ostacolo?
la soluzione che ha proposto la persona nel link sotto, potrebbe essere utilizzata anche nel mio caso?è corretta?
http://www.ciscoforums.it/viewtopic.php ... hlight=nat
ps:questo forum è ricchissimo di info, complimenti
Inviato: lun 02 giu , 2008 5:51 pm
da Wizard
Credo di avere capito il problema!
L'ip pubblico con cui ricevi mail è differente da quello con cui le spedisci!
Beh, la soluzione è solo una, invece che fare una regola di static battezzando la porta, falla x IP poi gestisci gli accessi con le acl!
Inviato: mar 03 giu , 2008 1:04 pm
da ambient
Ciao Wizard,
grazie della risposta
Wizard ha scritto:Credo di avere capito il problema!
L'ip pubblico con cui ricevi mail è differente da quello con cui le spedisci!
non proprio, il mio mail server è xxx.yyy.uuu.250, tant'è vero che i dns lo risolvono come xxx.yyy.uuu.250, in effetti però le connessioni avvengono sul xxx.yyy.uuu.254 che è il firewall, il quale sa che se riceve una connessione SMTP sul xxx.yyy.uuu.250 deve dirottarla ad un server interno.
Quello che mi serve sapere è come devo configurare il pix in maniera tale che faccia "credere" ad un mail server esterno che la connessione che sta ricevendo dal mio firewall xxx.yyy.uuu.254, sia la connessione del mio mail server xxx.yyy.uuu.250
ps:ti sarei infinitamente grato se riuscissi a postare 2 righe di config del tutto, o sapermi dire dove posso trovarle.
Inviato: mar 03 giu , 2008 1:11 pm
da Wizard
Facci vedere uno "sh run" così capiamo meglio
Inviato: mar 03 giu , 2008 10:06 pm
da rebQQtz
Mi permetto una risposta "non Cisco" ma da sysadmin ...
(sperando comunque di essere utile)
Se gestisci un dominio registrato regolarmente, e hai accesso al DNS, per far tacere i sistemi antispam (Dio li benedica) penso che ti basti aggiustare il (i) record MX del dominio e (eventualmente) il record SPF.
Non credo esistano ancora server tanto schizzinosi da controllare se la risoluzione inversa del server di posta corrisponde,
in questo caso, puoi sempre "regolare" di conseguenza il tuo record MX, ma, piu' facilmente, i filtri si attivano nel caso che il "greeting" del mail server contenga un nome host diverso da quello registrato nel DNS, anche in questo caso, un po' di cacciavite dovrebbe aggiustare le cose con successo ...
Altrimenti ... buon NAT
!
Inviato: mer 04 giu , 2008 9:14 am
da Wizard
I servizi antispam come prima cosa fanno appunto un reverse lookup...
Inviato: mer 04 giu , 2008 4:03 pm
da ambient
invece è proprio la reverse che mi frega, sotto trovi l'errore:
450 4.7.1 Client host rejected: cannot find your reverse hostname
il DNS lo gestisce Telecom, adesso sento anche loro cosa mi consigliano di fare.
ho quasi pronto lo sh run. tra un po' lo allego.
grazie intanto
Inviato: mer 04 giu , 2008 11:44 pm
da rebQQtz
Beh, certo che controllano il reverse lookup, ma basta che ci sia ...
ovvero non importa se "mail.domain.com" sta di casa all'IP 1.2.3.4
e il reverse di 1.2.3.4 risolve come host-4-3.pool2.1.interbusiness.com
Altrimenti i domini virtuali non potrebbero esistere, ad esempio io gestisco 350 domini di posta da un unico ip, che ovviamente ha la risoluzione inversa sul DNS dell' ISP cui e' delegata la zona dal ripe,
Oddio, e' chiaro che se uno imposta il suo filtro in modo che ...
Praticamente nessuno (telecom in testa ...) ti delega una zona di 8/16 ip (anche perche il meccanismo e' piuttosto farraginoso, ancora ... googola "sub c zone delegation")
in ogni caso, se tu metti il record MX con la reverse lookup "vera" del tuo IP e poi fai un CNAME con mail.miodominio.com, salvi capra e cavoli:
il tuo corrispondente schizzinoso (rev=direct)
il tuo cliente (a lui dai il CNAME per configurare la posta)
e l' RFC 821 che si incazza se usi i CNAME per i mail server.
va sans dire che il tuo IP potrebbe *VERAMENTE* non avere il reverse ...
Ciao a tutti.
Inviato: gio 05 giu , 2008 8:48 am
da ambient
grazie rebQQtz
intanto vi allego lo sh run:
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
nameif ethernet0 outside
nameif ethernet1 inside
nameif ethernet2 dmz
enable password
passwd
hostname
access-list acl_out permit tcp any host xxx.yyy.uuu.250 eq smtp
access-list acl_out permit tcp any host xxx.yyy.uuu.250 eq www
access-list acl_out permit tcp any host xxx.yyy.uuu.250 eq pop3
access-list acl_out permit tcp any host xxx.yyy.uuu.250 eq lotusnotes
access-list acl_out permit tcp any host xxx.yyy.uuu.250 eq 3470
access-list acl_out permit tcp any host xxx.yyy.uuu.250 eq 8999
access-list acl_out permit tcp any host xxx.yyy.uuu.250 eq 12173
pager lines 24
logging on
logging buffered debugging
mtu outside
mtu inside
mtu dmz
ip address outside xxx.yyy.uuu.254 255.255.255.240
ip address inside
ip address dmz 111.222.333.254 255.255.255.0
global (outside) 1 interface
global (dmz) 1 interface
nat (inside) 0 access-list no_nat
nat (inside) 1 aaa.bbb.ccc.0 255.255.255.0 0 0
nat (dmz) 0 access-list no_nat
nat (dmz) 1
static (dmz,outside) tcp xxx.yyy.uuu.250 www 111.222.333.250 www netmask 255.255.255.255 0 0
static (dmz,outside) tcp xxx.yyy.uuu.250 pop3 111.222.333.250 pop3 netmask 255.255.255.255 0 0
static (dmz,outside) tcp xxx.yyy.uuu.250 smtp 111.222.333.251 smtp netmask 255.255.255.255 0 0
access-group acl_out in interface outside
access-group acl_in in interface inside
access-group acl_dmz in interface dmz
route outside 0.0.0.0 0.0.0.0 xxx.yyy.uuu.241 1
Inviato: gio 05 giu , 2008 10:55 am
da Wizard
In breve:
Codice: Seleziona tutto
no static (dmz,outside) tcp xxx.yyy.uuu.250 www 111.222.333.250 www netmask 255.255.255.255 0 0
no static (dmz,outside) tcp xxx.yyy.uuu.250 pop3 111.222.333.250 pop3 netmask 255.255.255.255 0 0
static (dmz,outside) ip xxx.yyy.uuu.250 111.222.333.250 netmask 255.255.255.255 0 0
access-l acl_dmz permit ip host xxx.yyy.uuu.250 any
Inviato: gio 05 giu , 2008 4:52 pm
da ambient
ma così apro tutto, giusto?preferisco tenere aperte le porte che realmente mi servono.
dimenticanza: sul 250 pubblico arrivano anche delle chiamate su altre porte che poi dirotto in dmz su altri server, quindi
Codice: Seleziona tutto
static (dmz,outside) ip xxx.yyy.uuu.250 111.222.333.250 netmask 255.255.255.255 0 0
mi sa che non va bene, vero?
Inviato: gio 05 giu , 2008 4:53 pm
da ambient
ma così apro tutto, giusto?preferisco tenere aperte le porte che realmente mi servono.
dimenticanza: sul 250 pubblico arrivano anche delle chiamate su altre porte che poi dirotto in dmz su altri server, quindi
Codice: Seleziona tutto
static (dmz,outside) ip xxx.yyy.uuu.250 111.222.333.250 netmask 255.255.255.255 0 0
mi sa che non va bene, vero?
Inviato: ven 06 giu , 2008 10:55 am
da Wizard
Allora, x il problema del aprire tutto nn è un problema poichè con le acl sulla outside regoli solo le porte che vuoi aprire da intenet.
Per il fatto che usi lo stesso ip pubblico su + ip interni qua si che è un problema...
Io proverei così:
Configuri la static come prima x porta
crei un global con l'ip pubblico -.250 e fai una regola di nat (pat) x fare uscire il server con quel global
Inviato: mer 11 giu , 2008 2:09 pm
da ambient
grazie Wizard in settimana provo la soluzione che mi ha dato e poi ti dico.