Jump to content
Калькуляторы

почта через нат cisco router

проблемка с отправкой сообщений через фаирвол (cisco router)

настроен статический нат порт в порт (25)

ip nat inside source static tcp IP_LAN 25 IP_WAN 25 extendable 

входящие проходят, исходящие нет (Winsock Error 10060)

wireshark видит запросы НЕ с 25 порта

10.10.10.10    64.233.163.26    TCP    66    53148->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 
10.10.10.10    64.233.163.26    TCP    66    53149->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 
10.10.10.10    64.233.163.26    TCP    66    53150->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 
10.10.10.10    64.233.163.26    TCP    66    [TCP Retransmission] 53148->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 
10.10.10.10    64.233.163.26    TCP    66    [TCP Retransmission] 53149->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 
10.10.10.10    64.233.163.26    TCP    66    [TCP Retransmission] 53150->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 

это так и должно быть?

подскажите где что подкрутить

спасибо

Share this post


Link to post
Share on other sites

Запости

show ip nat translations

Проверь правильные ли интерфейсы указал как nat inside и nat outside

 

Посмотри еще фаервол на меил сервере и acl на интерфейсах.

Share this post


Link to post
Share on other sites

интерфейсы правильные

при открытии (ACL) доступа в инет хосту на котором стоит мейлер (MDaemmon) почта начинает уходить

но хотелось бы не давать ему доступ в инет, а перечислить необходимые для его работы порты

в идеале 25 и все.

Share this post


Link to post
Share on other sites

Если почта должна только принимается, то 25го порта внутрь должно быть достаточно.

Share this post


Link to post
Share on other sites

приниматься она принимается

проблема с отправкой как раз

Share this post


Link to post
Share on other sites

wireshark видит запросы НЕ с 25 порта

 

Ну так и должно быть.

Откройте в ACL:

MAIL_IP tcp gt 1024 -> 0.0.0.0/0 tcp eq 25

Share this post


Link to post
Share on other sites

thanks,

сделал gt 50000 - заработало, при выключенном инете на компе.

а почему gt 1024, не многовато ли?

в логах MDaemon-а ниже 50000 не опускался пока (мониторим)

Share this post


Link to post
Share on other sites

Из личного опыта:

До недавнего времени был в эксплуатации этот самый MDaemon, ходил в инет через НАТ на кошке 2811.

Были чудеса с прохождением писем по SMTP, в основном снаружи.

Выяснилось, что причиной был включенный по дефолту на кошке протокол инспектор для SMTP.

Мне оказалось проще его отключить, чем разбираться с настройками, и его взаимодействием с антиспамом почтаря.

Share this post


Link to post
Share on other sites

спасибо, помониторим, если что - отключим

Share this post


Link to post
Share on other sites

thanks,

сделал gt 50000 - заработало, при выключенном инете на компе.

а почему gt 1024, не многовато ли?

в логах MDaemon-а ниже 50000 не опускался пока (мониторим)

 

Излишняя паранойя вредна. Если на сервере есть возможность задать конкретно диапазон портов - задайте, и, тогда, можно выставить тот диапазон, который вы указали.

А пока диапазон портов ничем не ограничен не нужно создавать себе проблем.

Ну и, честно говоря, я не вижу смысла в вашей паранойе.

Share this post


Link to post
Share on other sites

запросил у разработчиков инфу по портам

хорошо, спасибо

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this