Jump to content

почта через нат cisco router

Reply to this topic

iCEDmAN   

iCEDmAN
Posted · Report post

проблемка с отправкой сообщений через фаирвол (cisco router)

настроен статический нат порт в порт (25) 

ip nat inside source static tcp IP_LAN 25 IP_WAN 25 extendable

входящие проходят, исходящие нет (Winsock Error 10060)

wireshark видит запросы НЕ с 25 порта 

10.10.10.10    64.233.163.26    TCP    66    53148->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 
10.10.10.10    64.233.163.26    TCP    66    53149->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 
10.10.10.10    64.233.163.26    TCP    66    53150->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 
10.10.10.10    64.233.163.26    TCP    66    [TCP Retransmission] 53148->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 
10.10.10.10    64.233.163.26    TCP    66    [TCP Retransmission] 53149->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 
10.10.10.10    64.233.163.26    TCP    66    [TCP Retransmission] 53150->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1

это так и должно быть?

подскажите где что подкрутить

спасибо

Share this post

Link to post
Share on other sites

darkmatter   

darkmatter
Posted · Report post

Запости

show ip nat translations

Проверь правильные ли интерфейсы указал как nat inside и nat outside

 

Посмотри еще фаервол на меил сервере и acl на интерфейсах.

Share this post

Link to post
Share on other sites

iCEDmAN   

iCEDmAN
Posted · Report post

интерфейсы правильные

при открытии (ACL) доступа в инет хосту на котором стоит мейлер (MDaemmon) почта начинает уходить

но хотелось бы не давать ему доступ в инет, а перечислить необходимые для его работы порты

в идеале 25 и все.

Share this post

Link to post
Share on other sites

g3fox   

g3fox
Posted · Report post

wireshark видит запросы НЕ с 25 порта

 

Ну так и должно быть.

Откройте в ACL:

MAIL_IP tcp gt 1024 -> 0.0.0.0/0 tcp eq 25

Share this post

Link to post
Share on other sites

iCEDmAN   

iCEDmAN
Posted · Report post

thanks,

сделал gt 50000 - заработало, при выключенном инете на компе.

а почему gt 1024, не многовато ли?

в логах MDaemon-а ниже 50000 не опускался пока (мониторим)

Share this post

Link to post
Share on other sites

azhur   

azhur
Posted · Report post

Из личного опыта:

До недавнего времени был в эксплуатации этот самый MDaemon, ходил в инет через НАТ на кошке 2811.

Были чудеса с прохождением писем по SMTP, в основном снаружи.

Выяснилось, что причиной был включенный по дефолту на кошке протокол инспектор для SMTP.

Мне оказалось проще его отключить, чем разбираться с настройками, и его взаимодействием с антиспамом почтаря.

Share this post

Link to post
Share on other sites

g3fox   

g3fox
Posted · Report post

thanks,

сделал gt 50000 - заработало, при выключенном инете на компе.

а почему gt 1024, не многовато ли?

в логах MDaemon-а ниже 50000 не опускался пока (мониторим)

 

Излишняя паранойя вредна. Если на сервере есть возможность задать конкретно диапазон портов - задайте, и, тогда, можно выставить тот диапазон, который вы указали.

А пока диапазон портов ничем не ограничен не нужно создавать себе проблем.

Ну и, честно говоря, я не вижу смысла в вашей паранойе.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...