Я совершенно не разбираюсь в этом, но если бы кто-нибудь нашел время, чтобы помочь мне, я был бы признателен. Мы обновили нашу Mcafee Saas Protection, и я пытаюсь настроить их необходимые IP-адреса в нашем cisco pix 501, чтобы серверы могли направлять электронную почту на наши серверы через брандмауэр на порту smtp. Я занимаюсь этим весь день и не могу получить правильную конфигурацию. Теперь я думаю, что у меня есть записи в пикселе, которые не должны быть там. Прямо сейчас они бьют по серверу Mcafee, но не добираются до нашего. Думаю, мои вопросы следующие:
1.) Как мне удалить ненужные записи и ввести правильные записи?
2.) Как мне получить пикс, чтобы пропустить строку IP-адресов. Мне нужно впустить 208.65.144.0-208.65.151.255 и 208.81.64.0-208.81.71.255
3.) Как я могу проверить его, чтобы убедиться, что он работает?
Я не прочь почитать об этом, если кто-нибудь может указать мне на довольно простой для понимания материал для чтения. Ниже приведена информация из нашего пиксельного окна.
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password <removed> encrypted
passwd <removed> encrypted
hostname PIXDaniels
domain-name danielsconstructioninc.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol pptp 1723
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
no fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 10.0.0.7 Exchange
name 10.0.0.8 Web1
access-list 101 permit icmp any any
access-list 101 permit tcp any host 24.xxx.xxx.xx eq pptp
access-list 101 permit tcp any host 24.xxx.xxx.xx eq www
access-list 101 permit tcp 64.18.0.0 255.255.240.0 host 24.xxx.xxx.xx eq smtp
access-list 101 permit tcp any host 24.xxx.xxx.xx eq https
access-list 102 permit ip 10.0.0.0 255.255.0.0 10.1.0.0 255.255.0.0
access-list nonat permit ip 10.0.0.0 255.255.0.0 10.1.0.0 255.255.0.0
access-list nonat permit ip 10.0.0.0 255.255.0.0 10.3.0.0 255.255.0.0
access-list nonat permit ip 10.0.0.0 255.255.0.0 10.2.0.0 255.255.0.0
access-list nonat permit ip 10.0.0.0 255.255.0.0 10.4.0.0 255.255.0.0
access-list nonat permit ip 10.0.0.0 255.255.0.0 10.5.0.0 255.255.0.0
access-list nonat permit ip 10.0.0.0 255.255.0.0 10.6.0.0 255.255.0.0
access-list 103 permit ip 10.0.0.0 255.255.0.0 10.3.0.0 255.255.0.0
access-list 104 permit ip 10.0.0.0 255.255.0.0 10.2.0.0 255.255.0.0
access-list 105 permit ip 10.0.0.0 255.255.0.0 10.4.0.0 255.255.0.0
access-list 106 permit ip 10.0.0.0 255.255.0.0 10.5.0.0 255.255.0.0
access-list 107 permit ip 10.0.0.0 255.255.0.0 10.6.0.0 255.255.0.0
access-list acl_out permit tcp host 209.165.201.1 eq smtp any
access-list acl_out permit tcp host 208.65.144.0 eq smtp any
access-list acl_out permit tcp host 208.81.64.0 eq smtp any
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 24.xxx.xxx.xx 255.255.255.252
ip address inside 10.0.0.2 255.255.0.0
ip audit info action alarm
ip audit attack action alarm
pdm location 10.0.0.0 255.0.0.0 inside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp interface pptp Exchange pptp netmask 255.255.255.255 0 0
static (inside,outside) tcp interface smtp Exchange smtp netmask 255.255.255.255 0 0
static (inside,outside) tcp interface www Web1 www netmask 255.255.255.255 0 0
static (inside,outside) tcp interface https Exchange https netmask 255.255.255.2 55 0 0
static (inside,outside) 209.165.201.1 192.168.42.1 netmask 255.255.255.255 0 0
static (inside,outside) 208.65.144.0 24.xxx.xxx.xx netmask 255.255.255.255 0 0
access-group acl_out in interface outside
route outside 0.0.0.0 0.0.0.0 24.xxx.xxx.xx 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 10.0.0.0 255.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set candle esp-des esp-md5-hmac
crypto map transam 1 ipsec-isakmp
crypto map transam 1 match address 102
crypto map transam 1 set peer 24.xxx.xxx.xxx
crypto map transam 1 set transform-set candle
crypto map transam 2 ipsec-isakmp
crypto map transam 2 match address 103
crypto map transam 2 set peer 24.xxx.xxx.xxx
crypto map transam 2 set transform-set candle
crypto map transam 3 ipsec-isakmp
crypto map transam 3 match address 104
crypto map transam 3 set peer 209.180.70.70
crypto map transam 3 set transform-set candle
crypto map transam 4 ipsec-isakmp
crypto map transam 4 match address 105
crypto map transam 4 set peer 24xxx.x.xxx
crypto map transam 4 set transform-set candle
crypto map transam 5 ipsec-isakmp
crypto map transam 5 match address 106
crypto map transam 5 set peer 63.230.147.133
crypto map transam 5 set transform-set candle
crypto map transam 6 ipsec-isakmp
crypto map transam 6 match address 107
crypto map transam 6 set peer 24.xxx.xx.xxx
crypto map transam 6 set transform-set candle
crypto map transam interface outside
isakmp enable outside
isakmp key ******** address 209.180.70.70 netmask 255.255.255.255
isakmp key ******** address 24.xxx.xxx.xxx netmask 255.255.255.255
isakmp key ******** address 24.xxx.xx.xxx netmask 255.255.255.255
isakmp key ******** address 24.xxx.x.xxx netmask 255.255.255.255
isakmp key ******** address 24.xxx.xxx.xxx netmask 255.255.255.255
isakmp key ******** address 63.230.147.133 netmask 255.255.255.255
isakmp identity address
isakmp nat-traversal 10
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption des
isakmp policy 1 hash md5
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400
telnet 208.65.144.0 255.255.255.255 outside
telnet 208.81.64.0 255.255.255.255 outside
telnet 10.0.0.0 255.0.0.0 inside
telnet 208.65.144.0 255.255.255.255 inside
telnet 208.81.64.0 255.255.255.255 inside
telnet timeout 60
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
management-access inside
console timeout 0
dhcpd address 10.0.102.100-10.0.102.200 inside
dhcpd dns 22.xxx.x.xx 24.xxx.xx.xx
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
terminal width 80
Cryptochecksum:d391c84f416a746cf0e31df16ab7050e
: end
Рабочий журнал ниже. Есть идеи, что могло случиться с VPN и нашим OMA?
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password encrypted
passwd encrypted
hostname PIXDaniels
domain-name danielsconstructioninc.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol pptp 1723
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 10.0.0.7 Exchange
name 10.0.0.8 Web1
access-list 101 permit icmp any any
access-list 101 permit tcp any host 24.xxx.xxx.xx eq pptp
access-list 101 permit tcp any host 24.xxx.xxx.xxx eq www
access-list 101 permit tcp 64.18.0.0 255.255.240.0 host 24.xxx.xxx.xx eq smtp
access-list 101 permit tcp any host 24.xxx.xxx.xx eq https
access-list 102 permit ip 10.0.0.0 255.255.0.0 10.1.0.0 255.255.0.0
access-list nonat permit ip 10.0.0.0 255.255.0.0 10.1.0.0 255.255.0.0
access-list nonat permit ip 10.0.0.0 255.255.0.0 10.3.0.0 255.255.0.0
access-list nonat permit ip 10.0.0.0 255.255.0.0 10.2.0.0 255.255.0.0
access-list nonat permit ip 10.0.0.0 255.255.0.0 10.4.0.0 255.255.0.0
access-list nonat permit ip 10.0.0.0 255.255.0.0 10.5.0.0 255.255.0.0
access-list nonat permit ip 10.0.0.0 255.255.0.0 10.6.0.0 255.255.0.0
access-list 103 permit ip 10.0.0.0 255.255.0.0 10.3.0.0 255.255.0.0
access-list 104 permit ip 10.0.0.0 255.255.0.0 10.2.0.0 255.255.0.0
access-list 105 permit ip 10.0.0.0 255.255.0.0 10.4.0.0 255.255.0.0
access-list 106 permit ip 10.0.0.0 255.255.0.0 10.5.0.0 255.255.0.0
access-list 107 permit ip 10.0.0.0 255.255.0.0 10.6.0.0 255.255.0.0
access-list acl_out permit tcp 208.65.144.0 255.255.255.0 any eq smtp log
access-list acl_out permit tcp 208.81.64.0 255.255.255.0 any eq smtp log
access-list acl_out deny ip any any log
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 24.x.xx.xx 255.255.255.252
ip address inside 10.0.0.2 255.255.0.0
ip audit info action alarm
ip audit attack action alarm
pdm location 10.0.0.0 255.0.0.0 inside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp interface pptp Exchange pptp netmask 255.255.255.255
0 0
static (inside,outside) tcp interface smtp Exchange smtp netmask 255.255.255.255
0 0
static (inside,outside) tcp interface www Web1 www netmask 255.255.255.255 0 0
static (inside,outside) tcp interface https Exchange https netmask 255.255.255.2
55 0 0
access-group acl_out in interface outside
route outside 0.0.0.0 0.0.0.0 24.xxx.xxx.xx x
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 10.0.0.0 255.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set candle esp-des esp-md5-hmac
crypto map transam 1 ipsec-isakmp
crypto map transam 1 match address 102
crypto map transam 1 set peer 24.111.168.154
crypto map transam 1 set transform-set candle
crypto map transam 2 ipsec-isakmp
crypto map transam 2 match address 103
crypto map transam 2 set peer 24.111.172.114
crypto map transam 2 set transform-set candle
crypto map transam 3 ipsec-isakmp
crypto map transam 3 match address 104
crypto map transam 3 set peer 209.180.70.70
crypto map transam 3 set transform-set candle
crypto map transam 4 ipsec-isakmp
crypto map transam 4 match address 105
crypto map transam 4 set peer 24.111.4.142
crypto map transam 4 set transform-set candle
crypto map transam 5 ipsec-isakmp
crypto map transam 5 match address 106
crypto map transam 5 set peer 63.230.147.133
crypto map transam 5 set transform-set candle
crypto map transam 6 ipsec-isakmp
crypto map transam 6 match address 107
crypto map transam 6 set peer 24.111.26.150
crypto map transam 6 set transform-set candle
crypto map transam interface outside
isakmp enable outside
isakmp key ******** address 209.180.70.70 netmask 255.255.255.255
isakmp key ******** address 24.xxx.xxx.xxx netmask 255.255.255.255
isakmp key ******** address 24.xxx.xxx.xxx netmask 255.255.255.255
isakmp key ******** address 24.xxx.x.xxx netmask 255.255.255.255
isakmp key ******** address 24.xxx.xxx.xxx netmask 255.255.255.255
isakmp key ******** address 63.230.147.133 netmask 255.255.255.255
isakmp identity address
isakmp nat-traversal 10
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption des
isakmp policy 1 hash md5
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400
telnet 10.0.0.0 255.0.0.0 inside
telnet timeout 60
ssh 10.0.0.0 255.0.0.0 inside
ssh timeout 60
management-access inside
console timeout 0
dhcpd address 10.0.102.100-10.0.102.200 inside
dhcpd dns 22.xxx.x.xx 24.xxx.x.xx
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
terminal width 80
Cryptochecksum:d391c84f416a746cf0e31df16ab7050e
: end
Спасибо, Agian, за уделенное время.
Информация о моей ситуации:
Наш ИТ-специалист, работающий неполный рабочий день, переехал и не может обслуживать нас так, как нам нужно. Затем мы перестали получать электронные письма, связанные с нашим обновлением, из-за того, что mcafee перестала работать, и они прекратили поток нашей электронной почты через свои серверы. Мы возобновили размышления о том, что решит проблему. Затем мы узнали, что они перестали использовать potsini для своих услуг и начали использовать свои собственные серверы для фильтрации своей электронной почты. Итак, теперь, когда у нас нет ИТ-специалиста, я пытаюсь удовлетворить наши основные потребности, пока мы не сможем найти подходящего ИТ-специалиста. Поэтому мне пришлось перенастроить наш пиксельный блок, чтобы он принимал новые адреса серверов, что вы мне помогли. Пока я возился с pix box, мой телефон все время получал электронную почту, и наш ручной vpn перестал работать. Мой телефон - это глобальный дроид 2, который пытается подключиться к серверу обмена, используя активную синхронизацию с ssl. Сначала у нас была проблема с этим, но мы сделали следующее, чтобы заставить его работать: защитить OWA с помощью сертификата SSL и направить трафик через порт 443 на веб-сайт OWA и сохранить весь остальной веб-трафик на 80. У нас все еще было несколько проблем. Итак, ИТ-специалист перешел по этой ссылке и, наконец, получил работу моей электронной почты дроида.
Насколько я знаю о нашей настройке, так это:
У нас есть веб-сервер и сервер обмена в нашем офисе за cisco pix 501. У нас есть (3) дополнительных офиса, в которых настроены туннели vpn к нашему серверу обмена, поэтому они всегда подключены к сети. Прямо сейчас мой телефон не будет подключаться к серверу для получения электронной почты, и я не могу вручную подключиться к нашей офисной сети, но туннели работают. Ручной vpn и электронная почта на моем телефоне, казалось, перестали работать, пока мы переключали новые адреса серверов mcafee.
Похоже, вам просто нужно изменить acl_out
ACL:
access-list acl_out permit tcp host 209.165.201.1 eq smtp any
Наверное, это была старая, правда? И это будут добавленные:
access-list acl_out permit tcp host 208.65.144.0 eq smtp any
access-list acl_out permit tcp host 208.81.64.0 eq smtp any
Измените их, чтобы разрешить все упомянутые вами диапазоны:
access-list acl_out permit tcp 208.65.144.0 255.255.255.0 any eq smtp
access-list acl_out permit tcp 208.81.64.0 255.255.255.0 any eq smtp
При беглом взгляде это кажется лишним:
static (inside,outside) 209.165.201.1 192.168.42.1 netmask 255.255.255.255 0 0
static (inside,outside) 208.65.144.0 24.xxx.xxx.xx netmask 255.255.255.255 0 0
telnet 208.65.144.0 255.255.255.255 outside
telnet 208.81.64.0 255.255.255.255 outside
telnet 208.65.144.0 255.255.255.255 inside
telnet 208.81.64.0 255.255.255.255 inside
И это, наверное, нехорошо:
ssh 0.0.0.0 0.0.0.0 outside
Вероятно, следует изменить в соответствии с политикой управления вашим правилом telnet:
ssh 10.0.0.0 255.0.0.0 inside