Cisco Forum — Allgemein

pali · 21.02.2005, 18:25

Hallo zusammen

Der Router ist an einem cable modem angeschlossen und holt per dhcp seine IP vom Provider. Im Lan befindet sich ein Mailserver, bei dem nur die private Adresse fürs LAN eingerichtet wurde. Neben der per DHCP vergebenen IP-Adresse ist ein 8er Block offizieller IP-Adressen ebenfalls im Paket enthalten. Anfragen auf diese IP-Adressen werden vom ISP auf den Router geroutet. Eine IP von den effektiv 6 nutzbaren habe ich per statischem NAT dem Mailserver zugewiesen. In der Firewall des Cisco Routers wurde die IP-Adresse mit den genutzten Ports zugänglich gemacht.

Nun zum Problem:
Der Router blockiert die Antworten auf die vom Mailserver geschickten Anfragen. D.h. 3-way-handshaking klappt, alles auf smtp basierendes wird vom router abgelehnt. Seltsamerweise werden Anfragen an den Mailserver von aussen durchgelassen und werden nicht unterbrochen. Wenn ich das statische NAT deaktiviere und von aussen auf die Adresse des Mailserver zugreifen will erscheint "421 SMTP service not available, closing transmission channel". Das sieht verdächtig nach einem SMTP-Proxy aus, jetzt fragt sich, ob es an dem liegt und ob der deaktivierbar ist.

Hat hier jemand schon ähnliche Erfahrungen gemacht und kennt vielleicht ein Weg aus dem Dilemma?

Ich danke schonmal für eure Hilfe.

Gruss
pali

pali · 22.02.2005, 14:46

habe ein update der Firmware auf 2.1 gemacht, jedoch half das nicht drüber weg. Mir ist noch folgender Gedanke durch den Kopf: kann es sein, dass bei einem statischen NAT die Regeln für den eingehenden Traffic nicht angepasst wird, wenn die Verbindung von innen nach aussen aufgebaut wird? D.h. wenn ich eine verbindung von bsp. intern rechner1 port 11100 nach extern rechner2 port 25 aufbaue, müsste die Firewall den port 11100 für den entgegengesetzten Datentransfer öffnen, da dieser als Ziel Rechner1 port 11100 hat.
(bitte denkt dran, dass es ein statisches NAT ist, hier wird kein PAT nötig, da es nur eine IP zu translatieren gibt)

Gruss
pali

tom12 · 22.02.2005, 22:18

Hi,

ein "show runn" würde sehr weiterhelfen...

pali · 01.04.2005, 17:47

(ups, hatte mein mcseboard-passwort verlegt und die richtige meiner x-1000 emailadressen nicht mehr gewusst, um das passwort neu zu setzen - ging deshalb etwas länger

hier das config-file: (offizielle Server-IP ist im Internet zugänglich, diese wird auf dem Router per statischem NAT auf IP 10.41.70.20, dem Mailserver weitergeleitet.)

----part1----

!This is the running config of the router: 10.41.70.2
!----------------------------------------------------------------------------
!version 12.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname InetRouter
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 debugging
logging console critical
enable secret 5 <unwichtig>
!
username <unwichtig> privilege 15 secret 5 <unwichtig>
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
aaa new-model
!
!
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
aaa session-id common
ip subnet-zero
no ip source-route
!
!
!
!
ip tcp synwait-time 10
ip domain name <unwichtig>
ip name-server 10.41.70.1
no ip bootp server
ip cef
ip inspect name sdm_ins_in_100 cuseeme
ip inspect name sdm_ins_in_100 ftp
ip inspect name sdm_ins_in_100 h323
ip inspect name sdm_ins_in_100 netshow
ip inspect name sdm_ins_in_100 rcmd
ip inspect name sdm_ins_in_100 realaudio
ip inspect name sdm_ins_in_100 rtsp
ip inspect name sdm_ins_in_100 sqlnet
ip inspect name sdm_ins_in_100 streamworks
ip inspect name sdm_ins_in_100 tftp
ip inspect name sdm_ins_in_100 udp
ip inspect name sdm_ins_in_100 vdolive
ip inspect name sdm_ins_in_100 icmp
ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
ip audit notify log
ip audit po max-events 100
ip ssh time-out 60
ip ssh authentication-retries 2
no ftp-server write-enable
no scripting tcl init
no scripting tcl encdir
!
!
!
!
!
crypto isakmp policy 1
<unwichtig>
!
crypto isakmp policy 3
<unwichtig>
!
crypto isakmp client configuration group <unwichtig>
wins 10.41.70.20
pool SDM_POOL_1
!
!
crypto <unwichtig>
!
crypto dynamic-map SDM_DYNMAP_1 1
set transform-set <unwichtig>
reverse-route
!
!
crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
!
!
!
interface FastEthernet0
description $FW_OUTSIDE$$ETH-WAN$$INTF-INFO-10/100 Ethernet$
ip address dhcp client-id FastEthernet0
ip access-group 101 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect sdm_ins_in_100 in
ip inspect DEFAULT100 out
ip route-cache flow
speed auto
no cdp enable
crypto map SDM_CMAP_1
!

pali · 01.04.2005, 17:48

----part2----

interface FastEthernet1
no ip address
no cdp enable
!
interface FastEthernet2
switchport access vlan 2
no ip address
no cdp enable
!
interface FastEthernet3
no ip address
shutdown
no cdp enable
!
interface FastEthernet4
no ip address
shutdown
no cdp enable
!
interface Vlan2
description $FW_INSIDE$
ip address 10.41.70.2 255.255.255.0
ip access-group 100 in
ip nat inside
!
interface Vlan1
ip address 10.10.10.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
!
ip local pool SDM_POOL_1 10.41.70.160 10.41.70.190
ip nat translation max-entries 100
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0 overload
ip nat inside source static 10.41.70.20 <offizielle Server-IP> extendable
ip classless
ip http server
ip http authentication local
ip http secure-server
!
!
!

pali · 01.04.2005, 17:59

----part3----

logging trap debugging
logging 10.41.70.20
access-list 1 remark INSIDE_IF=Vlan2
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.41.70.0 0.0.0.255
access-list 100 remark auto generated by SDM firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark auto generated by SDM firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 permit tcp any host <offizielle Server-IP> range smtp pop3
access-list 101 remark Auto generated by SDM for NTP (123) swisstime.ethz.ch
access-list 101 permit udp host 129.132.2.21 eq ntp any eq ntp
access-list 101 permit ip host 10.41.70.160 any
access-list 101 permit ip host 10.41.70.161 any
access-list 101 permit ip host 10.41.70.162 any
access-list 101 permit ip host 10.41.70.163 any
access-list 101 permit ip host 10.41.70.164 any
access-list 101 permit ip host 10.41.70.165 any
access-list 101 permit ip host 10.41.70.166 any
access-list 101 permit ip host 10.41.70.167 any
access-list 101 permit ip host 10.41.70.168 any
access-list 101 permit ip host 10.41.70.169 any
access-list 101 permit ip host 10.41.70.170 any
access-list 101 permit ip host 10.41.70.171 any
access-list 101 permit ip host 10.41.70.172 any
access-list 101 permit ip host 10.41.70.173 any
access-list 101 permit ip host 10.41.70.174 any
access-list 101 permit ip host 10.41.70.175 any
access-list 101 permit ip host 10.41.70.176 any
access-list 101 permit ip host 10.41.70.177 any
access-list 101 permit ip host 10.41.70.178 any
access-list 101 permit ip host 10.41.70.179 any
access-list 101 permit ip host 10.41.70.180 any
access-list 101 permit ip host 10.41.70.181 any
access-list 101 permit ip host 10.41.70.182 any
access-list 101 permit ip host 10.41.70.183 any
access-list 101 permit ip host 10.41.70.184 any
access-list 101 permit ip host 10.41.70.185 any
access-list 101 permit ip host 10.41.70.186 any
access-list 101 permit ip host 10.41.70.187 any
access-list 101 permit ip host 10.41.70.188 any
access-list 101 permit ip host 10.41.70.189 any
access-list 101 permit ip host 10.41.70.190 any
access-list 101 permit udp any any eq non500-isakmp
access-list 101 permit udp any any eq isakmp
access-list 101 permit esp any any
access-list 101 permit ahp any any
access-list 101 permit udp any eq bootps any eq bootpc
access-list 101 permit icmp any any echo
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip any any log
access-list 102 remark SDM_ACL Category=2

pali · 01.04.2005, 18:00

----part4----

access-list 102 deny ip any host 10.41.70.160
access-list 102 deny ip any host 10.41.70.161
access-list 102 deny ip any host 10.41.70.162
access-list 102 deny ip any host 10.41.70.163
access-list 102 deny ip any host 10.41.70.164
access-list 102 deny ip any host 10.41.70.165
access-list 102 deny ip any host 10.41.70.166
access-list 102 deny ip any host 10.41.70.167
access-list 102 deny ip any host 10.41.70.168
access-list 102 deny ip any host 10.41.70.169
access-list 102 deny ip any host 10.41.70.170
access-list 102 deny ip any host 10.41.70.171
access-list 102 deny ip any host 10.41.70.172
access-list 102 deny ip any host 10.41.70.173
access-list 102 deny ip any host 10.41.70.174
access-list 102 deny ip any host 10.41.70.175
access-list 102 deny ip any host 10.41.70.176
access-list 102 deny ip any host 10.41.70.177
access-list 102 deny ip any host 10.41.70.178
access-list 102 deny ip any host 10.41.70.179
access-list 102 deny ip any host 10.41.70.180
access-list 102 deny ip any host 10.41.70.181
access-list 102 deny ip any host 10.41.70.182
access-list 102 deny ip any host 10.41.70.183
access-list 102 deny ip any host 10.41.70.184
access-list 102 deny ip any host 10.41.70.185
access-list 102 deny ip any host 10.41.70.186
access-list 102 deny ip any host 10.41.70.187
access-list 102 deny ip any host 10.41.70.188
access-list 102 deny ip any host 10.41.70.189
access-list 102 deny ip any host 10.41.70.190
access-list 102 permit ip 10.41.70.0 0.0.0.255 any
no cdp run
!
route-map SDM_RMAP_1 permit 1
match ip address 102
!
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
transport output telnet
line aux 0
transport output telnet
line vty 0 4
transport input telnet ssh
line vty 5 15
transport input telnet ssh
!
scheduler allocate 4000 1000
scheduler interval 500
ntp clock-period 17179925
ntp server 129.132.2.21 prefer
!
end

Cisco Forum — Allgemein

Cisco Forum: Alles zum Thema CISCO Zertifizierungen CCNA, CCNP, CCSP, CCIE etc. — Q & A zum Thema CISCO Router, Switches und Firewalls