Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Pix 501 SMTP Probleme

Frage Sicherheit Firewall

Mitglied: florian.rhomberg

florian.rhomberg (Level 1) - Jetzt verbinden

06.11.2007, aktualisiert 28.12.2007, 4720 Aufrufe, 2 Kommentare

Ich habe ein großes Problem mit einem Exchange Server 2003 den ich hinter einen Pix 501 Firewall schalten möchte

Hallo!
Ich hoffe ihr könnt mit helfen, ihr seit wirklich sowas wie meine letzte Hoffnung. Ich habe über das Wochenende verzweifelt versucht einen Exchange Server 2003 hinter einer Pix 501 Firewall zum laufen zu bekommen. Erschwert wird das ganz noch durch eine sehr ungewöhnliche Netzwerkkonfiguration, da wir eine Schule sind. Bei mir werden die offiziellen IP Adressen (193.170.x.x) zunächst durch eine Firewall unseres Schulrates in 10.67.60.x Adressen übersetzt. Gleichzeitig blockt dieser Firewall (zu dem ich keine Zugriff hat) alle "gefährlichen" Ports darunter fällt auch der smtp Port. Daher werden alle E-Mails von außen zunächst an einen smtp Server des Schulnetzes geleitet welches dann die E-Mail an das smtp Protokoll meines Exchange 2003 weiterleitet. Da ich trotz all dem, dem Schulnetz nicht traue wollte ich jetzt eine Pix 501 zwischen meinen Exchange Server und dem Schulnetz schalten.

Der Pix selber hat eine andere 10.67.60.x Adresse als mein Mailserver. Also habe ich zunächst eine 1:1 NAT Übersetzung von 10.67.60.x auf 192.168.1.3 konfiguriert. Dann konnte mein Exchange Server ins Internet. Dann habe ich eine neue Regel erstellt die mir eine inbound connection von jedem externen Port auf Port 25 des Exchange Server erlaubt. Außerdem habe ich noch über die Befehlszeile "no fixup smtp 25" der config hinzugefügt da ich gelesen habe, dass es sonst ein Problem mit dem Exchange Server gibt. Das sollte doch funktionieren, oder? Damit sollte doch mein Mailserver nun erreichbar sein.

Nun tatsächlich schaffe ich es von einem Server der parallel im Schulnetz zum Pix geschalten ist eine E-Mail an den Server zu schicken. Ebenso kann der Server E-Mails verschicken. Nur wenn die e-mails von außen kommen dann funktioniert der Server nicht. Laut dem Schulnetz ist es für deren SMTP Server nicht möglich meinen SMTP zu kontaktieren, woran kann das liegen? Wenn ich den Mailserver wieder parallel zum Pix schalte dann erreicht aber der SMTP Server des Schulnetzes meinen SMTP Server. Also muss das Problem bei mir liegen. Kann mir da jemand helfen? Ich poste hier auch meine config. Ich hoffe für einen Cisco Experten ist dieses Problem sofort erkenntlich!

Vielen Dank für jede Hilfe,
Florian

01.
Result of firewall command: "write terminal" 
02.
  
03.
Building configuration... 
04.
: Saved 
05.
06.
PIX Version 6.3(5) 
07.
interface ethernet0 auto 
08.
interface ethernet1 100full 
09.
nameif ethernet0 outside security0 
10.
nameif ethernet1 inside security100 
11.
enable password QSBw6fE/9tVdB3LW encrypted 
12.
passwd 2KFQnbNIdI.2KYOU encrypted 
13.
hostname pixfirewall 
14.
domain-name ciscopix.com 
15.
fixup protocol dns maximum-length 512 
16.
fixup protocol ftp 21 
17.
fixup protocol h323 h225 1720 
18.
fixup protocol h323 ras 1718-1719 
19.
fixup protocol http 80 
20.
fixup protocol rsh 514 
21.
fixup protocol rtsp 554 
22.
fixup protocol sip 5060 
23.
fixup protocol sip udp 5060 
24.
fixup protocol skinny 2000 
25.
no fixup protocol smtp 25 
26.
fixup protocol sqlnet 1521 
27.
fixup protocol tftp 69 
28.
names 
29.
name 192.168.1.4 proxy 
30.
name 192.168.1.3 mail 
31.
object-group network proxy  
32.
  description Group of all Proxy Servers at HTL 
33.
  network-object proxy 255.255.255.255  
34.
object-group service MediaServer tcp-udp  
35.
  port-object range 1755 1755  
36.
  port-object range 5005 5005  
37.
  port-object range 554 554  
38.
object-group service MailServerTCP tcp  
39.
  port-object eq www  
40.
  port-object eq ftp-data  
41.
  port-object range 3389 3389  
42.
  port-object eq pop3  
43.
  port-object eq https  
44.
  port-object eq ftp  
45.
  port-object eq smtp  
46.
  port-object eq domain  
47.
object-group service MailServerTCPUDP tcp-udp  
48.
  port-object range 143 143  
49.
  port-object range 22 22  
50.
  port-object range 220 220  
51.
access-list outside_access_in permit tcp any interface outside eq 3389 log disable 
52.
access-list outside_access_in permit udp any interface outside eq ntp log disable 
53.
access-list outside_access_in permit tcp any interface outside object-group MediaServer log disable 
54.
access-list outside_access_in permit tcp any host 10.67.60.232 object-group MailServerTCP log 7  
55.
access-list outside_access_in permit tcp any host 10.67.60.232 object-group MailServerTCPUDP log 7  
56.
access-list outside_access_in permit ip any host 10.67.60.232 log disable 
57.
access-list outside_access_in permit icmp any host 10.67.60.232 log disable 
58.
access-list inside_access_in permit tcp any any log disable 
59.
access-list inside_access_in permit udp any any log disable 
60.
pager lines 24 
61.
logging on 
62.
mtu outside 1500 
63.
mtu inside 1500 
64.
ip address outside 10.67.60.209 255.255.255.0 
65.
ip address inside 192.168.1.1 255.255.255.0 
66.
ip audit info action alarm 
67.
ip audit attack action alarm 
68.
pdm location proxy 255.255.255.255 inside 
69.
pdm location mail 255.255.255.255 inside 
70.
pdm location 10.70.252.166 255.255.255.255 outside 
71.
pdm group proxy inside 
72.
pdm logging informational 100 
73.
pdm history enable 
74.
arp timeout 14400 
75.
global (outside) 1 interface 
76.
nat (inside) 1 192.168.1.0 255.255.255.0 dns 0 0 
77.
static (inside,outside) tcp interface 81 proxy 81 netmask 255.255.255.255 0 0  
78.
static (inside,outside) tcp interface 3389 proxy 3389 netmask 255.255.255.255 0 0  
79.
static (inside,outside) udp interface ntp proxy ntp netmask 255.255.255.255 0 0  
80.
static (inside,outside) tcp interface 1755 proxy 1755 netmask 255.255.255.255 0 0  
81.
static (inside,outside) udp interface 1755 proxy 1755 netmask 255.255.255.255 0 0  
82.
static (inside,outside) tcp interface 554 proxy 554 netmask 255.255.255.255 0 0  
83.
static (inside,outside) udp interface 5005 proxy 5005 netmask 255.255.255.255 0 0  
84.
static (inside,outside) 10.67.60.232 mail netmask 255.255.255.255 0 0  
85.
access-group outside_access_in in interface outside 
86.
access-group inside_access_in in interface inside 
87.
route outside 0.0.0.0 0.0.0.0 10.67.60.128 1 
88.
timeout xlate 0:05:00 
89.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 
90.
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 
91.
timeout sip-disconnect 0:02:00 sip-invite 0:03:00 
92.
timeout uauth 0:05:00 absolute 
93.
aaa-server TACACS+ protocol tacacs+  
94.
aaa-server TACACS+ max-failed-attempts 3  
95.
aaa-server TACACS+ deadtime 10  
96.
aaa-server RADIUS protocol radius  
97.
aaa-server RADIUS max-failed-attempts 3  
98.
aaa-server RADIUS deadtime 10  
99.
aaa-server LOCAL protocol local  
100.
http server enable 
101.
http 10.70.252.166 255.255.255.255 outside 
102.
http 192.168.1.0 255.255.255.0 inside 
103.
no snmp-server location 
104.
no snmp-server contact 
105.
snmp-server community public 
106.
no snmp-server enable traps 
107.
floodguard enable 
108.
telnet timeout 5 
109.
ssh timeout 5 
110.
console timeout 0 
111.
dhcpd address 192.168.1.2-192.168.1.33 inside 
112.
dhcpd lease 3600 
113.
dhcpd ping_timeout 750 
114.
dhcpd auto_config outside 
115.
terminal width 80 
116.
Cryptochecksum:71f18deecf7db9b499a39adf8b63c8d6 
117.
: end 
118.
[OK]
Mitglied: florian.rhomberg
07.11.2007 um 16:49 Uhr
Weiß da wirklich niemand einen Rat? Kann mir vielleicht einer den Ausschnitt einer Pix Konfiguration posten mit der der STMP Server funktioniert hat?

Liebe Grüße,
Florian
Bitte warten ..
Mitglied: stefanth
28.12.2007 um 08:22 Uhr
Hallo,
ich hatte das Problem, dass die Pix interne Mails geblockt hat.
Habe einen POP/SMPTP Server der die Mails holt und dann per SMTP an meine Exchange weiterreicht.
Ich habe die ESMTP prüfung daktiviert. Frag mich aber nicht mehr wie es bei der 6er Version geht. Denke es war eine service-policy.
Bei der 8er Version finde ich das unter Configuration - Service Policy Rules - global_policy - inspection_default-Rule Actions und hier ESMTP ausschalten.
Warum diese Policy den internen Lanverkehr beachtet - keine Ahnung.
Hoffe es hilft Dir weiter bzw. bringt Dich in eine Richtung den Fehler zu finden.

Mit freundlichen Grüßen
Stefan
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Microsoft Office
Office 2016 Probleme mit Outlook (5)

Frage von killtec zum Thema Microsoft Office ...

Batch & Shell
gelöst Crontab mit Shell Probleme (9)

Frage von mschaedler1982 zum Thema Batch & Shell ...

Windows 7
gelöst Sind euch verstärkte Probleme bei Windows 7 Updates aufgefallen? (4)

Frage von RadioHam zum Thema Windows 7 ...

Cloud-Dienste
gelöst OwnCloud 8 Probleme mit Vorschaubildern auf Mobilgeräten (1)

Frage von zeroblue2005 zum Thema Cloud-Dienste ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...