» » ASA 8.2 с почтовым сервером SMTP во внутренней сети

Лаборатория Сетей Cisco
 
 
 

ASA 8.2 с почтовым сервером SMTP во внутренней сети

Автор: HunSolo от 4-07-2013, 13:54, посмотрело: 3585

0 Эта простая конфигурация демонстрирует как настроить PIX/ASA Firewall для работы с почтовым сервером, находящимся во внутренней сети. Сетевая диаграмма показана на рисунке.

ASA 8.2 с почтовым сервером SMTP во внутренней сети

Здесь, почтовый сервер находиться где-то за роутером (Router A) во внутренней сети. Router A, в свою очередь соединен с интерфейсом inside PIX/ASA

ASA Version 8.2(2) 
!
hostname ASA5520
!--- Определяем IP адрес для  inside интерфейса.
interface Ethernet3
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 

!--- Определяем IP адрес для  outside интерфейса.
interface Ethernet4
 nameif outside
 security-level 0
 ip address 209.164.3.1 255.255.255.252 
!

!--- Создаем лист доступа  который разрешает SMTP трафик от куда угодно 
!--- к нашему серверу  209.164.3.5. Дадим имя этому листу как smtp 
access-list smtp extended permit tcp any host 209.164.3.5 eq smtp 

!--- Укажем, что любой трафик который приходит на inside интерфейс из сети 192.168.2.x 
!--- подвергается NAT (PAT) процессу в адрес 209.164.3.129, если такой трафик проходит через
!--- outside интерфейс.

global (outside) 1 209.164.3.129
nat (inside) 1 192.168.2.0 255.255.255.0

!--- Определим статическую трансляцию между  192.168.2.57 на  inside и
!--- 209.164.3.5 на outside. Эти два адреса используются сервером находящимся 
!--- на inside интерфейсе  

static (inside,outside) 209.164.3.5 192.168.2.57 netmask 255.255.255.255


!--- Применяем лист доступа пот имени smtp на вход к  outside интерфейсу.
access-group smtp in interface outside


!--- Указываем ASA направлять любой трафик предназначенный на  192.168.x.x
!--- к роутеру с адресом  192.168.1.2.

route inside 192.168.0.0 255.255.0.0 192.168.1.2 1

!--- Утанавливаем маршрут по умолчанию на  209.164.3.2.
!--- ASA полагает, что это адрес роутера.
route outside 0.0.0.0 0.0.0.0 209.164.3.2 1
!
class-map inspection_default
 match default-inspection-traffic
!

!--- Протокол SMTP/ESMTP инспектируется  как "inspect esmtp" и включается в политику.
policy-map global_policy
 class inspection_default
  inspect esmtp 

service-policy global_policy global


Конфигурация роутера A не приводится, т.к. вам нужно только назначить IP адрес на интерфейс и указать маршрут по умолчанию на 192.168.1.1 - inside интерфейс ASA

Настройка ESMTP TLS


Если вы используете шифрование Transport Layer Security (TLS) для передачи Email, тогда ESMTP инспекция на ASA (включена по умолчанию) будет отбрасывать пакеты. Для того, чтобы разрешить прохождение Emailов с включенным TLS, необходимо отключить инспекцию ESMTP:

policy-map global_policy
class inspection_default
no inspect esmtp




Категория: Безопасность и VPN

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Вопрос:
Раскаленная стрела дуб свалила у села
Ответ:*
Введите два слова, показанных на изображении: *