[iCEDmAN]

проблемка с отправкой сообщений через фаирвол (cisco router)

настроен статический нат порт в порт (25)

ip nat inside source static tcp IP_LAN 25 IP_WAN 25 extendable 

входящие проходят, исходящие нет (Winsock Error 10060)

wireshark видит запросы НЕ с 25 порта

10.10.10.10    64.233.163.26    TCP    66    53148->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 
10.10.10.10    64.233.163.26    TCP    66    53149->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 
10.10.10.10    64.233.163.26    TCP    66    53150->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 
10.10.10.10    64.233.163.26    TCP    66    [TCP Retransmission] 53148->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 
10.10.10.10    64.233.163.26    TCP    66    [TCP Retransmission] 53149->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 
10.10.10.10    64.233.163.26    TCP    66    [TCP Retransmission] 53150->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 

это так и должно быть?

подскажите где что подкрутить

спасибо

[darkmatter]

Запости

show ip nat translations

Проверь правильные ли интерфейсы указал как nat inside и nat outside

 

Посмотри еще фаервол на меил сервере и acl на интерфейсах.

[iCEDmAN]

интерфейсы правильные

при открытии (ACL) доступа в инет хосту на котором стоит мейлер (MDaemmon) почта начинает уходить

но хотелось бы не давать ему доступ в инет, а перечислить необходимые для его работы порты

в идеале 25 и все.

[darkmatter]

Если почта должна только принимается, то 25го порта внутрь должно быть достаточно.

[iCEDmAN]

приниматься она принимается

проблема с отправкой как раз

[g3fox]

wireshark видит запросы НЕ с 25 порта

 

Ну так и должно быть.

Откройте в ACL:

MAIL_IP tcp gt 1024 -> 0.0.0.0/0 tcp eq 25

[iCEDmAN]

thanks,

сделал gt 50000 - заработало, при выключенном инете на компе.

а почему gt 1024, не многовато ли?

в логах MDaemon-а ниже 50000 не опускался пока (мониторим)

[azhur]

Из личного опыта:

До недавнего времени был в эксплуатации этот самый MDaemon, ходил в инет через НАТ на кошке 2811.

Были чудеса с прохождением писем по SMTP, в основном снаружи.

Выяснилось, что причиной был включенный по дефолту на кошке протокол инспектор для SMTP.

Мне оказалось проще его отключить, чем разбираться с настройками, и его взаимодействием с антиспамом почтаря.

[iCEDmAN]

спасибо, помониторим, если что - отключим

[g3fox]

thanks,

сделал gt 50000 - заработало, при выключенном инете на компе.

а почему gt 1024, не многовато ли?

в логах MDaemon-а ниже 50000 не опускался пока (мониторим)

 

Излишняя паранойя вредна. Если на сервере есть возможность задать конкретно диапазон портов - задайте, и, тогда, можно выставить тот диапазон, который вы указали.

А пока диапазон портов ничем не ограничен не нужно создавать себе проблем.

Ну и, честно говоря, я не вижу смысла в вашей паранойе.

[iCEDmAN]

запросил у разработчиков инфу по портам

хорошо, спасибо