» » ASA c почтовым сервером SMTP в DMZ

Лаборатория Сетей Cisco
 
 
 

ASA c почтовым сервером SMTP в DMZ

Автор: HunSolo от 4-07-2013, 14:03, посмотрело: 3932

0 В этой небольшой статье мы рассмотрим как сконфигурировать PIX/ASA Firewall чтобы получить доступ к почтовому серверу размещенному в DMZ. Предполагается, что у вас имеется PIX или ASA с тремя сетевыми интерфейсами. Один из интерфейсов смотрит в сторону внутренней сети компании и называется inside, второй интерфейс подключен к провайдеру или к оборудованию внешней сети, и называется outside, а третий интерфейс образует демилитаризованную зону, DMZ, где размещаются ваши сервера для публичного доступа, такие как SMTP, FTP, HTTP и т.д.

Соответствующая сетевая диаграмма показана на рисунке.

ASA c почтовым сервером SMTP в DMZ

Положим, что провадер вам выдал адресный диапазон 209.165.200.224/27 маршрутизируемых адресов. Выполним адресацию следующим образом:
  • IP: 209.165.200.225 - адрес outside интерфейса ASA
  • IP: 209.165.200.226 - адрес роутера ISP или внешнего оборудования
  • IP: 10.1.1.1 - адрес inside интерфейса ASA
  • IP: 172.16.31.1 - адрес DMZ интерфейса ASA

Как вы уже увидели из рисунка, внутренняя сеть имеет адрес 10.1.1.0/24, а зону DMZ назначим адреса 172.16.31.0/24. В зоне DMZ размещаем почтовый сервер Mail с IP адресом 172.16.31.10. Для него же выделим и маршрутизируемый адрес 209.165.200.227 в который будет транслироваться его настоящий адрес, следующим образом:

static (dmz,outside) 209.165.200.227 172.16.31.10 netmask 255.255.255.255

Эта команда выполняет преобразование SRC адреса 172.16.31.10 в 209.165.200.227 и именно по такому маршрутизируемому адресу, почтовый будут видеть все внешние пользователи.

Конфигурация ASA

!--- Этот access list разрешает всем внешним хостам  ходить на IP адрес 209.168.200.227 по порту SMTP. 
access-list outside_int permit tcp any host 209.165.200.227 eq smtp 

!--- Динамическая трансляция адресов внутренней сети, когда они пытаются выйти в Интернет
global (outside) 1 209.165.200.228-209.165.200.253 netmask 255.255.255.224
global (outside) 1 209.165.200.254
nat (inside) 1 10.1.1.0 255.255.255.0 0 0

!--- Этот static  не использует трансляцию адресов. 
!--- Внутренние хосты появляются в DMZ под своими собственными адресами. Это называется идентичный NAT.
static (inside,dmz) 10.1.1.0 10.1.1.0 netmask 255.255.255.0 

!--- А этот статик использует адресную трансляцию. Хосты, получающие доступ к почтовому серверу
!--- из Интернет используют  DST адрес 209.165.200.227.
static (dmz,outside) 209.165.200.227 172.16.31.10 netmask 255.255.255.255 

!--- Применяем созданный access-list. Отныне, ASA принимает только почтовые соединения на outside
!--- Все остальное блокируется
access-group outside_int in interface outside
route outside 0.0.0.0 0.0.0.0 209.165.200.226 


Посмотрим, что же у нас получилось. Выполним на ASA команды show xlate и show conn:
ASA c почтовым сервером SMTP в DMZ

Здесь мы видим, что существуют все трансляции. Первая 10.1.1.0 в 10.1.1.0 - означающая, что хосты из внутренней сети транслируются сами в себя при доступе к сетям, расположенных в DMZ. Т.е фактически адреса не изменяются.
Вторая запись говорит о том, что хост 172.16.31.10 транслируется в глобальный адрес 209.165.200.227. Т.е наш почтовый сервер доступен из внешней среды под этим глобальным адресом. Также мы видим, что на наш хост 172.16.31.10 уже устанавливается SMTP соединение (TCP 25) с адреса 209.165.200.226.



Категория: Безопасность и VPN

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Вопрос:
Имя первой женщины в мире, освоившей летательный аппарат
Ответ:*
Введите два слова, показанных на изображении: *