Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Pix 501 SMTP Probleme

Mitglied: florian.rhomberg

florian.rhomberg (Level 1) - Jetzt verbinden

06.11.2007, aktualisiert 28.12.2007, 4795 Aufrufe, 2 Kommentare

Ich habe ein großes Problem mit einem Exchange Server 2003 den ich hinter einen Pix 501 Firewall schalten möchte

Hallo!
Ich hoffe ihr könnt mit helfen, ihr seit wirklich sowas wie meine letzte Hoffnung. Ich habe über das Wochenende verzweifelt versucht einen Exchange Server 2003 hinter einer Pix 501 Firewall zum laufen zu bekommen. Erschwert wird das ganz noch durch eine sehr ungewöhnliche Netzwerkkonfiguration, da wir eine Schule sind. Bei mir werden die offiziellen IP Adressen (193.170.x.x) zunächst durch eine Firewall unseres Schulrates in 10.67.60.x Adressen übersetzt. Gleichzeitig blockt dieser Firewall (zu dem ich keine Zugriff hat) alle "gefährlichen" Ports darunter fällt auch der smtp Port. Daher werden alle E-Mails von außen zunächst an einen smtp Server des Schulnetzes geleitet welches dann die E-Mail an das smtp Protokoll meines Exchange 2003 weiterleitet. Da ich trotz all dem, dem Schulnetz nicht traue wollte ich jetzt eine Pix 501 zwischen meinen Exchange Server und dem Schulnetz schalten.

Der Pix selber hat eine andere 10.67.60.x Adresse als mein Mailserver. Also habe ich zunächst eine 1:1 NAT Übersetzung von 10.67.60.x auf 192.168.1.3 konfiguriert. Dann konnte mein Exchange Server ins Internet. Dann habe ich eine neue Regel erstellt die mir eine inbound connection von jedem externen Port auf Port 25 des Exchange Server erlaubt. Außerdem habe ich noch über die Befehlszeile "no fixup smtp 25" der config hinzugefügt da ich gelesen habe, dass es sonst ein Problem mit dem Exchange Server gibt. Das sollte doch funktionieren, oder? Damit sollte doch mein Mailserver nun erreichbar sein.

Nun tatsächlich schaffe ich es von einem Server der parallel im Schulnetz zum Pix geschalten ist eine E-Mail an den Server zu schicken. Ebenso kann der Server E-Mails verschicken. Nur wenn die e-mails von außen kommen dann funktioniert der Server nicht. Laut dem Schulnetz ist es für deren SMTP Server nicht möglich meinen SMTP zu kontaktieren, woran kann das liegen? Wenn ich den Mailserver wieder parallel zum Pix schalte dann erreicht aber der SMTP Server des Schulnetzes meinen SMTP Server. Also muss das Problem bei mir liegen. Kann mir da jemand helfen? Ich poste hier auch meine config. Ich hoffe für einen Cisco Experten ist dieses Problem sofort erkenntlich!

Vielen Dank für jede Hilfe,
Florian

01.
Result of firewall command: "write terminal"
02.
 
03.
Building configuration...
04.
: Saved
05.
:
06.
PIX Version 6.3(5)
07.
interface ethernet0 auto
08.
interface ethernet1 100full
09.
nameif ethernet0 outside security0
10.
nameif ethernet1 inside security100
11.
enable password QSBw6fE/9tVdB3LW encrypted
12.
passwd 2KFQnbNIdI.2KYOU encrypted
13.
hostname pixfirewall
14.
domain-name ciscopix.com
15.
fixup protocol dns maximum-length 512
16.
fixup protocol ftp 21
17.
fixup protocol h323 h225 1720
18.
fixup protocol h323 ras 1718-1719
19.
fixup protocol http 80
20.
fixup protocol rsh 514
21.
fixup protocol rtsp 554
22.
fixup protocol sip 5060
23.
fixup protocol sip udp 5060
24.
fixup protocol skinny 2000
25.
no fixup protocol smtp 25
26.
fixup protocol sqlnet 1521
27.
fixup protocol tftp 69
28.
names
29.
name 192.168.1.4 proxy
30.
name 192.168.1.3 mail
31.
object-group network proxy 
32.
  description Group of all Proxy Servers at HTL
33.
  network-object proxy 255.255.255.255 
34.
object-group service MediaServer tcp-udp 
35.
  port-object range 1755 1755 
36.
  port-object range 5005 5005 
37.
  port-object range 554 554 
38.
object-group service MailServerTCP tcp 
39.
  port-object eq www 
40.
  port-object eq ftp-data 
41.
  port-object range 3389 3389 
42.
  port-object eq pop3 
43.
  port-object eq https 
44.
  port-object eq ftp 
45.
  port-object eq smtp 
46.
  port-object eq domain 
47.
object-group service MailServerTCPUDP tcp-udp 
48.
  port-object range 143 143 
49.
  port-object range 22 22 
50.
  port-object range 220 220 
51.
access-list outside_access_in permit tcp any interface outside eq 3389 log disable
52.
access-list outside_access_in permit udp any interface outside eq ntp log disable
53.
access-list outside_access_in permit tcp any interface outside object-group MediaServer log disable
54.
access-list outside_access_in permit tcp any host 10.67.60.232 object-group MailServerTCP log 7 
55.
access-list outside_access_in permit tcp any host 10.67.60.232 object-group MailServerTCPUDP log 7 
56.
access-list outside_access_in permit ip any host 10.67.60.232 log disable
57.
access-list outside_access_in permit icmp any host 10.67.60.232 log disable
58.
access-list inside_access_in permit tcp any any log disable
59.
access-list inside_access_in permit udp any any log disable
60.
pager lines 24
61.
logging on
62.
mtu outside 1500
63.
mtu inside 1500
64.
ip address outside 10.67.60.209 255.255.255.0
65.
ip address inside 192.168.1.1 255.255.255.0
66.
ip audit info action alarm
67.
ip audit attack action alarm
68.
pdm location proxy 255.255.255.255 inside
69.
pdm location mail 255.255.255.255 inside
70.
pdm location 10.70.252.166 255.255.255.255 outside
71.
pdm group proxy inside
72.
pdm logging informational 100
73.
pdm history enable
74.
arp timeout 14400
75.
global (outside) 1 interface
76.
nat (inside) 1 192.168.1.0 255.255.255.0 dns 0 0
77.
static (inside,outside) tcp interface 81 proxy 81 netmask 255.255.255.255 0 0 
78.
static (inside,outside) tcp interface 3389 proxy 3389 netmask 255.255.255.255 0 0 
79.
static (inside,outside) udp interface ntp proxy ntp netmask 255.255.255.255 0 0 
80.
static (inside,outside) tcp interface 1755 proxy 1755 netmask 255.255.255.255 0 0 
81.
static (inside,outside) udp interface 1755 proxy 1755 netmask 255.255.255.255 0 0 
82.
static (inside,outside) tcp interface 554 proxy 554 netmask 255.255.255.255 0 0 
83.
static (inside,outside) udp interface 5005 proxy 5005 netmask 255.255.255.255 0 0 
84.
static (inside,outside) 10.67.60.232 mail netmask 255.255.255.255 0 0 
85.
access-group outside_access_in in interface outside
86.
access-group inside_access_in in interface inside
87.
route outside 0.0.0.0 0.0.0.0 10.67.60.128 1
88.
timeout xlate 0:05:00
89.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
90.
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
91.
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
92.
timeout uauth 0:05:00 absolute
93.
aaa-server TACACS+ protocol tacacs+ 
94.
aaa-server TACACS+ max-failed-attempts 3 
95.
aaa-server TACACS+ deadtime 10 
96.
aaa-server RADIUS protocol radius 
97.
aaa-server RADIUS max-failed-attempts 3 
98.
aaa-server RADIUS deadtime 10 
99.
aaa-server LOCAL protocol local 
100.
http server enable
101.
http 10.70.252.166 255.255.255.255 outside
102.
http 192.168.1.0 255.255.255.0 inside
103.
no snmp-server location
104.
no snmp-server contact
105.
snmp-server community public
106.
no snmp-server enable traps
107.
floodguard enable
108.
telnet timeout 5
109.
ssh timeout 5
110.
console timeout 0
111.
dhcpd address 192.168.1.2-192.168.1.33 inside
112.
dhcpd lease 3600
113.
dhcpd ping_timeout 750
114.
dhcpd auto_config outside
115.
terminal width 80
116.
Cryptochecksum:71f18deecf7db9b499a39adf8b63c8d6
117.
: end
118.
[OK]
Mitglied: florian.rhomberg
07.11.2007 um 16:49 Uhr
Weiß da wirklich niemand einen Rat? Kann mir vielleicht einer den Ausschnitt einer Pix Konfiguration posten mit der der STMP Server funktioniert hat?

Liebe Grüße,
Florian
Bitte warten ..
Mitglied: stefanth
28.12.2007 um 08:22 Uhr
Hallo,
ich hatte das Problem, dass die Pix interne Mails geblockt hat.
Habe einen POP/SMPTP Server der die Mails holt und dann per SMTP an meine Exchange weiterreicht.
Ich habe die ESMTP prüfung daktiviert. Frag mich aber nicht mehr wie es bei der 6er Version geht. Denke es war eine service-policy.
Bei der 8er Version finde ich das unter Configuration - Service Policy Rules - global_policy - inspection_default-Rule Actions und hier ESMTP ausschalten.
Warum diese Policy den internen Lanverkehr beachtet - keine Ahnung.
Hoffe es hilft Dir weiter bzw. bringt Dich in eine Richtung den Fehler zu finden.

MFG
Stefan
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Keine PDM-Konfiguration meiner guten alten pix 501

Frage von rabo001Router & Routing1 Kommentar

Hallo, ich weis es ist ein Uraltteil aber ich möchte sie weiter nutzen meine pix501. Nur jetzt gibt es ...

Firewall

Cisco Pix 501 - Fehler Unable to launch device manager !!?

Frage von babyloniaFirewall7 Kommentare

Hi, Cisco Pix 501 Version 6.3(5) Ich habe den PIX Device Manager pdm304.bin installiert. Dann habe ich versucht den ...

Exchange Server

Exchange 2010: Problem mit internem SMTP-Relay

gelöst Frage von da-michiExchange Server3 Kommentare

Hallo zusammen, nach einem Umzug von SBS 2003 auf SBS 2011 habe ich ein Problem mit dem SMTP-Relay am ...

Exchange Server

SMTP konfigurieren

gelöst Frage von almeraExchange Server3 Kommentare

Hi Folks, ich versuche gerade meinen ersten Exchange Server, hier in Version 2010, aufzusetzen. Und, wie zu erwarten, ich ...

Neue Wissensbeiträge
Humor (lol)
Administrator.de Perlen
Tipp von DerWindowsFreak2 vor 2 TagenHumor (lol)3 Kommentare

Hallo, Heute beim stöbern auf dieser Seite bin auf folgenden Thread aus dem Jahre 2006 gestossen: Was meint ihr? ...

Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 3 TagenErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 6 TageniOS5 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 7 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
PCIe 1.0 Grafikkarte für 3840x2160
Frage von Windows10GegnerGrafikkarten & Monitore30 Kommentare

Hallo, mein Vater hat einen neuen Monitor gekauft, welcher eine native Auflösung von 3840*2160 hat. Diese muss jetzt auch ...

Windows Server
Dienstnamen und oder Deutsche und Englische Beschreibung in services.msc gleichzeitig anzeigen
gelöst Frage von vafk18Windows Server23 Kommentare

Guten Morgen, die Suche nach Diensten in services.msc gestaltet sich immer wieder schwierig, weil mir je nach Aufgabe die ...

Windows 10
Windows Enterprise 1809 Eval nicht bootbar
Frage von Sunny89Windows 1022 Kommentare

Hallo zusammen, bevor ich mich jetzt noch stundenlang rumärger wollte ich euch fragen, ob Ihr die gleichen Probleme habt ...

JavaScript
Javascript: WebSql
gelöst Frage von internet2107JavaScript13 Kommentare

Guten Morgen zusammen, zunächst einmal einen schönen dritten Advent. Ich habe ein Problem mit Javascript und WebSQL. Bisher habe ...