forum.opennet.ru - "Exchange Server 2003 в DMZ ASA 5510" (1)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Exchange Server 2003 в DMZ ASA 5510"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Exchange Server 2003 в DMZ ASA 5510"
Сообщение от Rock_Island (ok) on 22-Май-07, 17:40
Добрый день! В DMZ ASA 5510 находиться Exchange Server 2003 Std SP2. Вот конфиг: ASA Version 7.2(2) ! hostname firewall domain-name agroinvest.com enable password 5Qt9XKjDNHXvuNBk encrypted names ! interface Ethernet0/0 nameif outside security-level 0 ip address x.x.x.242 255.255.255.252 ! interface Ethernet0/1 nameif inside security-level 100 ip address 192.168.46.21 255.255.255.0 ! interface Ethernet0/2 nameif dmz security-level 50 ip address 172.16.0.1 255.255.255.0 ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 management-only ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone MSK/MSD 3 clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00 dns server-group DefaultDNS domain-name agroinvest.com access-list no_nat extended permit ip 192.168.46.0 255.255.255.0 172.16.0.0 255.255.255.0 access-list outside_access_in extended permit tcp any host x.x.x.234 eq smtp access-list outside_access_in extended permit udp host x.x.x.2 host x.x.x.234 eq domain access-list outside_access_in extended permit icmp any any access-list dmz_access_in extended permit udp host 172.16.0.4 host x.x.x.2 eq domain access-list dmz_access_in extended permit icmp 172.16.0.0 255.255.255.0 any access-list dmz_access_in extended permit tcp host 172.16.0.4 any eq smtp access-list dmz_access_in extended permit tcp host 172.16.0.4 any eq pop3 access-list inside_access_in extended permit icmp 192.168.46.0 255.255.255.0 any access-list inside_access_in extended permit ip 192.168.46.0 255.255.255.0 any access-list inside_access_in extended deny ip 192.168.46.0 255.255.255.0 x.x.x.232 255.255.255.248 pager lines 24 logging enable logging buffer-size 1000000 logging buffered informational logging asdm informational mtu outside 1500 mtu inside 1500 mtu dmz 1500 mtu management 1500 ip verify reverse-path interface outside ip verify reverse-path interface dmz ip audit info action alarm drop ip audit attack action alarm drop icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-522.bin no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list no_nat nat (inside) 1 192.168.46.0 255.255.255.0 static (dmz,outside) x.x.x.234 172.16.0.4 netmask 255.255.255.255 access-group outside_access_in in interface outside access-group inside_access_in in interface inside access-group dmz_access_in in interface dmz route outside 0.0.0.0 0.0.0.0 x.x.x.141 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute username admin password 4vy3HaVLJtFKC6.2 encrypted privilege 15 aaa local authentication attempts max-fail 5 http server enable http 192.168.46.48 255.255.255.255 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart telnet 192.168.46.48 255.255.255.255 inside telnet timeout 5 ssh 192.168.46.48 255.255.255.255 inside ssh timeout 5 console timeout 0 management-access inside ! ! tftp-server inside 192.168.46.48 d:\TFTP-Root prompt hostname context Cryptochecksum:50aa8bd70c724d273057c12eaa254040 : end Добрый день! В DMZ находиться Exchange Server 2003 Std SP2. У него один интерфейс с адресом: 172.16.0.4. В инет натиться он публичным адресом 195.x.x.234. В DMZ домен вида DOMAIN.COM, в локальной сети - DOMAIN.LOCAL. В локальной сети в DNS контроллера (адрес 192.168.46.22) а адресах пересылки в числе прочих указан адрес DNS сервера в DMZ, то есть, 172.16.0.4. В DMZ, помимо DNS провайдера, соответственно - 192.168.46.22. DNS работает нормально, потому как всё в инете резолвиться. Телнетом на 25-й порт сервака можно зайти как на публичный, так и на локальный адреса. Тесты в DNS в норме, журнал событий - то же... Не удаётся только подцепить сервак через Outlook: Почта ->Учётные записи... -> Добавить новую запись... -> 1. Microsoft Exchange Server... Почему? Какие порты нужно открыть на Firewall помимо 25-го, 110-го, чтобы все клиенты могли работать с сервером как снаружи, так и изнутри, причём не через POP3? Заранее спасибо!
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Exchange Server 2003 в DMZ ASA 5510, Basil, 17:51 , 22-Май-07, (1)

Сообщения по теме [Сортировка по времени, UBB]

1. "Exchange Server 2003 в DMZ ASA 5510"

Сообщение от Basil (??) on 22-Май-07, 17:51

>Добрый день!
>
>В DMZ ASA 5510 находиться Exchange Server 2003 Std SP2.
>
>Вот конфиг:
>
>
>ASA Version 7.2(2)
>!
>hostname firewall
>domain-name agroinvest.com
>enable password 5Qt9XKjDNHXvuNBk encrypted
>names
>!
>interface Ethernet0/0
> nameif outside
> security-level 0
> ip address x.x.x.242 255.255.255.252
>!
>interface Ethernet0/1
> nameif inside
> security-level 100
> ip address 192.168.46.21 255.255.255.0
>!
>interface Ethernet0/2
> nameif dmz
> security-level 50
> ip address 172.16.0.1 255.255.255.0
>!
>interface Ethernet0/3
> shutdown
> no nameif
> no security-level
> no ip address
>!
>interface Management0/0
> shutdown
> nameif management
> security-level 100
> ip address 192.168.1.1 255.255.255.0
> management-only
>!
>passwd 2KFQnbNIdI.2KYOU encrypted
>ftp mode passive
>clock timezone MSK/MSD 3
>clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
>
>dns server-group DefaultDNS
> domain-name agroinvest.com
>access-list no_nat extended permit ip 192.168.46.0 255.255.255.0 172.16.0.0 255.255.255.0
>access-list outside_access_in extended permit tcp any host x.x.x.234 eq smtp
>access-list outside_access_in extended permit udp host x.x.x.2 host x.x.x.234 eq domain
>access-list outside_access_in extended permit icmp any any
>access-list dmz_access_in extended permit udp host 172.16.0.4 host x.x.x.2 eq domain
>access-list dmz_access_in extended permit icmp 172.16.0.0 255.255.255.0 any
>access-list dmz_access_in extended permit tcp host 172.16.0.4 any eq smtp
>access-list dmz_access_in extended permit tcp host 172.16.0.4 any eq pop3
>access-list inside_access_in extended permit icmp 192.168.46.0 255.255.255.0 any
>access-list inside_access_in extended permit ip 192.168.46.0 255.255.255.0 any
>access-list inside_access_in extended deny ip 192.168.46.0 255.255.255.0 x.x.x.232 255.255.255.248
>pager lines 24
>logging enable
>logging buffer-size 1000000
>logging buffered informational
>logging asdm informational
>mtu outside 1500
>mtu inside 1500
>mtu dmz 1500
>mtu management 1500
>ip verify reverse-path interface outside
>ip verify reverse-path interface dmz
>ip audit info action alarm drop
>ip audit attack action alarm drop
>icmp unreachable rate-limit 1 burst-size 1
>asdm image disk0:/asdm-522.bin
>no asdm history enable
>arp timeout 14400
>global (outside) 1 interface
>nat (inside) 0 access-list no_nat
>nat (inside) 1 192.168.46.0 255.255.255.0
>static (dmz,outside) x.x.x.234 172.16.0.4 netmask 255.255.255.255
>access-group outside_access_in in interface outside
>access-group inside_access_in in interface inside
>access-group dmz_access_in in interface dmz
>route outside 0.0.0.0 0.0.0.0 x.x.x.141 1
>timeout xlate 3:00:00
>timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
>timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
>timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
>timeout uauth 0:05:00 absolute
>username admin password 4vy3HaVLJtFKC6.2 encrypted privilege 15
>aaa local authentication attempts max-fail 5
>http server enable
>http 192.168.46.48 255.255.255.255 inside
>no snmp-server location
>no snmp-server contact
>snmp-server enable traps snmp authentication linkup linkdown coldstart
>telnet 192.168.46.48 255.255.255.255 inside
>telnet timeout 5
>ssh 192.168.46.48 255.255.255.255 inside
>ssh timeout 5
>console timeout 0
>management-access inside
>!
>!
>tftp-server inside 192.168.46.48 d:\TFTP-Root
>prompt hostname context
>Cryptochecksum:50aa8bd70c724d273057c12eaa254040
>: end
>Добрый день!
>
>В DMZ находиться Exchange Server 2003 Std SP2.
>У него один интерфейс с адресом: 172.16.0.4. В инет натиться он публичным
>адресом 195.x.x.234.
>В DMZ домен вида DOMAIN.COM, в локальной сети - DOMAIN.LOCAL.
>В локальной сети в DNS контроллера (адрес 192.168.46.22) а адресах пересылки в
>числе прочих указан адрес DNS сервера в DMZ, то есть, 172.16.0.4.
>В DMZ, помимо DNS провайдера, соответственно - 192.168.46.22.
>DNS работает нормально, потому как всё в инете резолвиться.
>Телнетом на 25-й порт сервака можно зайти как на публичный, так и
>на локальный адреса.
>Тесты в DNS в норме, журнал событий - то же...
>Не удаётся только подцепить сервак через Outlook: Почта ->Учётные записи... -> Добавить новую запись... -> 1. Microsoft Exchange Server...
>Почему?
>Какие порты нужно открыть на Firewall помимо 25-го, 110-го, чтобы все клиенты
>могли работать с сервером как снаружи, так и изнутри, причём не
>через POP3?
>
>Заранее спасибо!

Для работы снаружи по https через OWA лучше использовать BackEnd и FrontEnd сервера... как настроить можно пордробнее почитать на майкрософте, там еще возможен вариант работы rpc over ssl напрямую из клиента. чтобы работало изнутри, imho надо открыть IMAP - 143 порт

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Exchange Server 2003 в DMZ ASA 5510"
Сообщение от Basil (??) on 22-Май-07, 17:51
>Добрый день! > >В DMZ ASA 5510 находиться Exchange Server 2003 Std SP2. > >Вот конфиг: > > >ASA Version 7.2(2) >! >hostname firewall >domain-name agroinvest.com >enable password 5Qt9XKjDNHXvuNBk encrypted >names >! >interface Ethernet0/0 > nameif outside > security-level 0 > ip address x.x.x.242 255.255.255.252 >! >interface Ethernet0/1 > nameif inside > security-level 100 > ip address 192.168.46.21 255.255.255.0 >! >interface Ethernet0/2 > nameif dmz > security-level 50 > ip address 172.16.0.1 255.255.255.0 >! >interface Ethernet0/3 > shutdown > no nameif > no security-level > no ip address >! >interface Management0/0 > shutdown > nameif management > security-level 100 > ip address 192.168.1.1 255.255.255.0 > management-only >! >passwd 2KFQnbNIdI.2KYOU encrypted >ftp mode passive >clock timezone MSK/MSD 3 >clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00 > >dns server-group DefaultDNS > domain-name agroinvest.com >access-list no_nat extended permit ip 192.168.46.0 255.255.255.0 172.16.0.0 255.255.255.0 >access-list outside_access_in extended permit tcp any host x.x.x.234 eq smtp >access-list outside_access_in extended permit udp host x.x.x.2 host x.x.x.234 eq domain >access-list outside_access_in extended permit icmp any any >access-list dmz_access_in extended permit udp host 172.16.0.4 host x.x.x.2 eq domain >access-list dmz_access_in extended permit icmp 172.16.0.0 255.255.255.0 any >access-list dmz_access_in extended permit tcp host 172.16.0.4 any eq smtp >access-list dmz_access_in extended permit tcp host 172.16.0.4 any eq pop3 >access-list inside_access_in extended permit icmp 192.168.46.0 255.255.255.0 any >access-list inside_access_in extended permit ip 192.168.46.0 255.255.255.0 any >access-list inside_access_in extended deny ip 192.168.46.0 255.255.255.0 x.x.x.232 255.255.255.248 >pager lines 24 >logging enable >logging buffer-size 1000000 >logging buffered informational >logging asdm informational >mtu outside 1500 >mtu inside 1500 >mtu dmz 1500 >mtu management 1500 >ip verify reverse-path interface outside >ip verify reverse-path interface dmz >ip audit info action alarm drop >ip audit attack action alarm drop >icmp unreachable rate-limit 1 burst-size 1 >asdm image disk0:/asdm-522.bin >no asdm history enable >arp timeout 14400 >global (outside) 1 interface >nat (inside) 0 access-list no_nat >nat (inside) 1 192.168.46.0 255.255.255.0 >static (dmz,outside) x.x.x.234 172.16.0.4 netmask 255.255.255.255 >access-group outside_access_in in interface outside >access-group inside_access_in in interface inside >access-group dmz_access_in in interface dmz >route outside 0.0.0.0 0.0.0.0 x.x.x.141 1 >timeout xlate 3:00:00 >timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 >timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 >timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 >timeout uauth 0:05:00 absolute >username admin password 4vy3HaVLJtFKC6.2 encrypted privilege 15 >aaa local authentication attempts max-fail 5 >http server enable >http 192.168.46.48 255.255.255.255 inside >no snmp-server location >no snmp-server contact >snmp-server enable traps snmp authentication linkup linkdown coldstart >telnet 192.168.46.48 255.255.255.255 inside >telnet timeout 5 >ssh 192.168.46.48 255.255.255.255 inside >ssh timeout 5 >console timeout 0 >management-access inside >! >! >tftp-server inside 192.168.46.48 d:\TFTP-Root >prompt hostname context >Cryptochecksum:50aa8bd70c724d273057c12eaa254040 >: end >Добрый день! > >В DMZ находиться Exchange Server 2003 Std SP2. >У него один интерфейс с адресом: 172.16.0.4. В инет натиться он публичным >адресом 195.x.x.234. >В DMZ домен вида DOMAIN.COM, в локальной сети - DOMAIN.LOCAL. >В локальной сети в DNS контроллера (адрес 192.168.46.22) а адресах пересылки в >числе прочих указан адрес DNS сервера в DMZ, то есть, 172.16.0.4. >В DMZ, помимо DNS провайдера, соответственно - 192.168.46.22. >DNS работает нормально, потому как всё в инете резолвиться. >Телнетом на 25-й порт сервака можно зайти как на публичный, так и >на локальный адреса. >Тесты в DNS в норме, журнал событий - то же... >Не удаётся только подцепить сервак через Outlook: Почта ->Учётные записи... -> Добавить новую запись... -> 1. Microsoft Exchange Server... >Почему? >Какие порты нужно открыть на Firewall помимо 25-го, 110-го, чтобы все клиенты >могли работать с сервером как снаружи, так и изнутри, причём не >через POP3? > >Заранее спасибо! Для работы снаружи по https через OWA лучше использовать BackEnd и FrontEnd сервера... как настроить можно пордробнее почитать на майкрософте, там еще возможен вариант работы rpc over ssl напрямую из клиента. чтобы работало изнутри, imho надо открыть IMAP - 143 порт
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]