RHa01 10 Posted June 30, 2009 Report Posted June 30, 2009 hallo, ich habe eine ASA 5505, remote access VPN habe ich eingerichtet und funktioniert, ich habe PAT und die entspr. regel eingerichtet um den smtp server von extern zu ereichen, wenn ich im LAN ein telnet auf den smtp server mache funktioniert es, wenn ich das selbe von extern oder über den VPN Tunnel mache kommt die Meldung "220 *************..." vom smtp Server! wenn ich einen smtp Befehl absetze (z.B. ehlo) kommt die Meldung "500 5.3.3 Unrecogized command" kann mir da wer weiterhelfen? danke Harry Auszug aus Config: ASA Version 8.0(4) access-list inside_nat0_outbound extended permit ip 192.168.3.0 255.255.255.0 192.168.3.192 255.255.255.224 access-list local_LAN_access standard permit host 0.0.0.0 access-list outside_access_in extended permit tcp any host 192.168.0.5 eq smtp pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 ip local pool vpn-pool1 192.168.3.201-192.168.3.220 mask 255.255.255.0 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-613.bin no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list inside_nat0_outbound nat (inside) 1 0.0.0.0 0.0.0.0 static (inside,outside) tcp interface smtp 192.168.3.5 smtp netmask 255.255.255.255 access-group outside_access_in in interface outside route outside 0.0.0.0 0.0.0.0 192.168.0.99 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy http server enable http 192.168.0.0 255.255.255.0 outside http 88.117.174.42 255.255.255.255 outside http 192.168.3.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart Quote
blackbox 10 Posted June 30, 2009 Report Posted June 30, 2009 Hi, warum willst du da eine Hilfe haben - die "220 ****" ist doch OK - da greift das Inspect für SMTP - was dafür sorgt, das zum einen keiner sehen kann was für ein "Mailserver" sich dahinter befindet und desweiteren nur RFC Befehle für SMTP durchläßt - und auch keine die du im "Telnet" Fenster eingibst (das erkennt er auch) - wenn du das nicht mehr haben möchtest - dann nimm den Inspect dafür raus - aber damit hebst du auch ein Stück Sicherheit aus. Quote
RHa01 10 Posted June 30, 2009 Author Report Posted June 30, 2009 danke, wie kann ich das inspect ausschalten ? Quote
RHa01 10 Posted June 30, 2009 Author Report Posted June 30, 2009 hab inzwischen das mit inspect gelöst, danke Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.