PIX / Inside Mail-Server

[Pretender 10]

Hallo!

 

Habe nach einem Configuration Example von Cisco eine Grundconfig für eine PIX 506 verfasst. Es funktioniert eigentlich alles..... nur das wichtigste nicht, der Mail-Server ist nicht von aussen erreichbar.

 

Hier der Link zum Cisco Beispiel:

 

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a0080094466.shtml

 

 

Ein telnet auf die IP auf Port 25 bringt nur einen Timeout.

 

Wie in dem Beispiele wurden feste globale IP's verwendet.

 

Jemand eine Idee woran es hapert ?

 

Wäre für jede Hilfe dankbar

[Blacky_24 10]

Nunja,

 

Du brauchst im Prinzip drei Sachen:

 

1.) Einen "static" mit dem Du die interne IP statisch auf die externe IP umsetzt:

 

static (inside,outside) 62.XXX.XXX.XXX 10.0.0.2 netmask 255.255.255.255 0 0

 

2.) Eine Access-List mit der Du den Port 25 von draussen kommend aufmachst

 

access-list 101 permit tcp any host 62.XXX.XXX.XXX eq smtp

 

3. Die Access-List muss auf das externe Interface inbound gebunden werden:

 

access-group 101 in interface outside

 

Anstelle der Access-List kannst Du auch einen entsprechenden Conduit verwenden - aber die Consuits werden irgendwann mal in der Software sterben und die Access-List-Geschichte zieht sich bei Cisco einheitlich durch alle Plattformen, sollte man also eher Access-Lists verwenden.

 

Klar, Internetzugriff allgemein muss funktionieren, das ganze Gehampel mit der Default-Route spare ich mir jetzt hier mal.

 

Ich stehe jetzt etwas auf der Seife (wo ist meine PIX-Bibel ver* nochmal?) ob es die "global (outside) 1 xxx.xxx.xxx.xxx" und "nat (inside)" wirklich braucht wenn man nur ganz gezielt ein System aufmachen will dass einen Static hat, eigentlich dachte ich greift in dem Fall der Static und nicht das Global, muss ich bei Gelegenheit mal testen.

 

Die Cisco-Musterkonfig funktioniert sicher, was bei Dir schief läuft kann man nur anhand Deiner Konfig beurteilen - ggf. Passwörter und öffentliche IPs rausnehmen.

 

Gruss

Markus

[Pretender 10]

kann es dir gerne schicken. Oder es liegt noch an der Router Config, also an den Routen dort. Wobei die eigentlich nicht schiefgehen sollten.

 

Config PIX und der Abschnitt mit den Routen vom Router folgt gleich.

[Blacky_24 10]

Hi,

 

Wenn Du Dir nicht sicher bist ob die Connectivity generell funktioniert kannst Du mal auf dem Outside ICMP einschalten

 

icmp permit any outside

 

Damit antwortet das Outside auf Ping - brauchst zu Testzwecken halt einen alternativen Internetzugang.

 

Alternativ / zusätzlich ICMP aufmachen dass der Server nach draussen pingen kann - Falle: Du musst da die Static-Adresse setzen, sonst gehts nicht, alternativ das "host 62.XXX.XXX.XXX" durch ein "any" ersetzen.

 

access-list 101 permit icmp any host 62.XXX.XXX.XXX echo-reply

access-list 101 permit icmp any host 62.XXX.XXX.XXX source-quench

access-list 101 permit icmp any host 62.XXX.XXX.XXX unreachable

access-list 101 permit icmp any host 62.XXX.XXX.XXX time-exceeded

access-list 101 permit icmp any host 62.XXX.XXX.XXX echo

 

Wenn die connectivity / routing nicht stimmen brauchen wir garnicht weiter an der Konfig rumdoktern.

 

Gruss

Markus

[Pretender 10]

IP Adressen abgeändert.

 

CONFIG PIX:

 

 

Building configuration...

: Saved

:

PIX Version 6.3(3)

interface ethernet0 auto

interface ethernet1 auto

nameif ethernet0 outside security0

nameif ethernet1 inside security100

enable password xxx

passwd xxx

hostname pixfirewall

domain-name ciscopix.com

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

no fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

names

access-list smtp permit tcp any host 113.140.137.59 eq smtp

pager lines 24

mtu outside 1500

mtu inside 1500

ip address outside 113.140.137.57 255.255.255.0

ip address inside 192.168.x.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

pdm location 192.168.x.100 255.255.255.255 inside

pdm logging informational 100

pdm history enable

arp timeout 14400

global (outside) 1 113.140.137.58

nat (inside) 1 192.168.x.0 255.255.255.0 0 0

static (inside,outside) 113.140.137.59 192.168.x.100 netmask 255.255.255.255 0 0

route outside 0.0.0.0 0.0.0.0 113.140.137.56 1

timeout xlate 0:05:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

aaa-server LOCAL protocol local

http server enable

http 192.168.1.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

telnet timeout 5

ssh timeout 5

console timeout 0

terminal width 80

: end

[OK]

[Pretender 10]

Zu deiner Frage, ob der Ping funktioniert.

 

Router und PIX lassen sich pingen, der Mail-Server nicht bzw. seine global IP. Schätze dann passt da eine route nicht.

[Pretender 10]

Die Routen auf dem Router lauten wie folgt:

 

 

ip route 0.0.0.0 0.0.0.0 82.139.x.x 50

ip route 0.0.0.0 0.0.0.0 Dialer 0 80

ip route 113.140.137.0 255.255.255.0 113.140.137.57

[Blacky_24 10]

Original geschrieben von Pretender

Zu deiner Frage, ob der Ping funktioniert.

 

Router und PIX lassen sich pingen, der Mail-Server nicht bzw. seine global IP. Schätze dann passt da eine route nicht.

 

Theopraktisch müsste die IP des Mailservers im gleichen netz liegen wie das Outside-Interface der PIX?! Wenn Du die PIX outside pingen kannst kann es eigentlich kein Routing-Problem sein.

 

Wenn Du den Mailserver von extern durch die PIX pingen willst muss Du dafür eine Access-Liste setzen:

 

Cisco schrub in http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a0080094e8a.shtml

Inbound ICMP through the PIX is denied by default; outbound ICMP is permitted, but the incoming reply is denied by default.

 

Also:

 

mit der o.a. Access-Liste machst Du die PIX auf für die Antwortpakete auf Ping-Anfragen die von Inside nach Outside geschickt wurden.

 

Wenn Du von Outside auf den MX Inside pingen willst musst Du das ebenfalls aufmachen:

 

access-list 101 permit icmp host 62.XXX.XXX.XXX any echo

 

Denke bitte daran dass Du die ganzen Access-Listen-Einträge wieder von der PIX runter nimmst wenn das denn irgendwann mal funktioniert.

 

Gruss

Markus

[Blacky_24 10]

Sach mal Kollege,

 

könnte es sein dass ein konkretes

 

access-group smtp in interface outside

 

in Deiner PIX Dein Problem lösen würde?

 

Bin zwar noch nicht ganz wach aber irgendwie finde ich das in Deiner Konfig nicht - und wenn Du die Access-List nicht auf das Interface bindest tut die Access-List nix (ausser Speicher brauchen).

 

Gruss

Markus

[Pretender 10]

Hahahahahaha du hast Recht.

 

das fehlte wriklich..... grrr....danke...könnte mir in den ***** beissen.

[mr._oiso 10]

Hallo Pretender

 

Sorry Blacky_24 dass ich mich einmische !

Und sorry Pretender, dass ich erst jetzt Deine Pix Config gefunden habe, aber es sieht so aus als hättest Du es ja jetzt

im Griff !

Blacky_24 hat es Dir ja nochmal richtig auseinandergelegt.

 

"access-group smtp in interface outside"

 

sollte jetzt der Schlüssel zum Erfolg sein !

 

Klappt es den jetzt ?

 

Gruß

[Pretender 10]

klappt alles !!! :) danke an euch.

[mike1017 10]

Hallo

 

ich würde noch das fixup protocol für Port 25

aktivieren.

 

Dieses Kommando der Pix schützt Deinen Mail Server

zusätzlich gegen Attacken die über das SMTP möglich sind

 

Also : fixup protocol smtp 25

 

Der Mike