IP : Conversão de endereços de rede (NAT)

Configurar o ASA para o acesso do mail server S TP no DMZ, dentro de, e redes externas

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve como configurar uma ferramenta de segurança adaptável de Cisco (ASA) para o acesso a um server do Simple Mail Transfer Protocol (SMTP) que seja ficado situado na zona desmilitarizada (DMZ), na rede interna, ou na rede externa.

Contribuído por Aastha Bhardwaj, por Divya Subramanian, por Prapanch Ramamoorthy, e por Dinkar Sharma, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco ASA que executa a versão de software 9.1 ou mais atrasado
  • Cisco 2800C Series Router com liberação 15.1(4)M6 do Cisco IOS ® Software

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Esta seção descreve como configurar o ASA a fim alcançar o mail server na rede do DMZ, na rede interna, ou na rede externa.

Nota: Use a ferramenta de consulta de comandos (clientes registrados somente) para obter mais informação nos comandos que são usados nesta seção.

Mail server na rede do DMZ

Diagrama de Rede

A configuração que é descrita nesta seção usa esta instalação de rede:

Nota: Os esquemas de endereçamento de IP que são usados neste documento não são legalmente roteável no Internet. São os endereços do RFC 1918 que foram usados em um ambiente de laboratório.

A instalação de rede que é usada neste exemplo tem o ASA com uma rede interna em 10.1.1.0/24 e uma rede externa em 203.0.113.0/24. O mail server com endereço IP 172.16.31.10 é ficado situado na rede do DMZ. Para que o mail server seja alcançado pela rede interna, você deve configurar o Network Address Translation (NAT) da identidade. 

Para que os usuários externos alcancem o mail server, você deve configurar um NAT estático e uma lista de acessos, que seja outside_int neste exemplo, a fim permitir os usuários externos alcançar o mail server e ligar a lista de acessos à interface externa.

Configuração ASA

Esta é a configuração ASA para este exemplo:

show run
: Saved
:
ASA Version 9.1(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain
passwd 2KFQnbNIdI.2KYOU encrypted
names

!--- Configure the dmz interface.

interface GigabitEthernet0/0
nameif dmz
security-level 50
ip address 172.16.31.1 255.255.255.0
!

!--- Configure the outside interface.


interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 203.0.113.1 255.255.255.0

!--- Configure inside interface.

interface GigabitEthernet0/2
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
!
boot system disk0:/asa912-k8.bin
ftp mode passive

!--- This access list allows hosts to access
!--- IP address 172.16.31.10 for the SMTP port from outside.


access-list outside_int extended permit tcp any4 host 172.16.31.10 eq smtp

object network obj1-10.1.1.0
 subnet 10.1.1.0 255.255.255.0
nat (inside,outside) dynamic interface

!--- This network static does not use address translation.
!--- Inside hosts appear on the DMZ with their own addresses.


object network obj-10.1.1.0
subnet 10.1.1.0 255.255.255.0
nat (inside,dmz) static obj-10.1.1.0

!--- This Auto-NAT uses address translation.
!--- Hosts that access the mail server from the outside
!--- use the 203.0.113.10 address.


object network obj-172.16.31.10
host 172.16.31.10
nat (dmz,outside) static 203.0.113.10

access-group outside_int in interface outside

route outside 0.0.0.0 0.0.0.0 203.0.113.2 1

timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512

!--- The inspect esmtp command (included in the map) allows
!--- SMTP/ESMTP to inspect the application.


policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!

!--- The inspect esmtp command (included in the map) allows
!--- SMTP/ESMTP to inspect the application.


service-policy global_policy global

Configuração ESMTP TLS

Se você usa a criptografia do Transport Layer Security (TLS) para uma comunicação do email, a seguir a característica da inspeção do protocolo simples de transferência de correspondência estendido (ESMTP) (permitida à revelia) no ASA deixa cair os pacotes. A fim permitir os email com o TLS permitido, desabilite a característica da inspeção de ESMTP segundo as indicações do exemplo seguinte.

Nota: Refira a identificação de bug Cisco CSCtn08326 (clientes registrados somente) para mais informação.

ciscoasa(config)#policy-map global_policy
ciscoasa(config-pmap)#class inspection_default
ciscoasa(config-pmap-c)#no inspect esmtp
ciscoasa(config-pmap-c)#exit
ciscoasa(config-pmap)#exit

Mail server na rede interna

Diagrama de Rede

A configuração que é descrita nesta seção usa esta instalação de rede:

A instalação de rede que é usada neste exemplo tem o ASA com uma rede interna em 10.1.1.0/24 e uma rede externa em 203.0.113.0/24. O mail server com o endereço IP 10.1.2.10 é ficado situado na rede interna.

Configuração ASA

Esta é a configuração ASA para este exemplo:

ASA#show run
: Saved
:
ASA Version 9.1(2)
!
--Omitted--
!

!--- Define the IP address for the inside interface.

interface GigabitEthernet0/2
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0

!--- Define the IP address for the outside interface.

interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 203.0.113.1 255.255.255.0
!
--Omitted--

!--- Create an access list that permits Simple
!--- Mail Transfer Protocol (SMTP) traffic from anywhere
!--- to the host at 203.0.113.10 (our server). The name of this list is
!--- smtp. Add additional lines to this access list as required.
!--- Note: There is one and only one access list allowed per
!--- interface per direction, for example, inbound on the outside interface.
!--- Because of limitation, any additional lines that need placement in
!--- the access list need to be specified here. If the server
!--- in question is not SMTP, replace the occurrences of SMTP with
!--- www, DNS, POP3, or whatever else is required.


access-list smtp extended permit tcp any host 10.1.2.10 eq smtp

--Omitted--

!--- Specify that any traffic that originates inside from the
!--- 10.1.2.x network NATs (PAT) to 203.0.113.9 if
!--- such traffic passes through the outside interface.


object network obj-10.1.2.0
subnet 10.1.2.0 255.255.255.0
nat (inside,outside) dynamic 203.0.113.9

!--- Define a static translation between 10.1.2.10 on the inside and
!--- 203.0.113.10 on the outside. These are the addresses to be used by
!--- the server located inside the ASA.


object network obj-10.1.2.10
host 10.1.2.10
nat (inside,outside) static 203.0.113.10

!--- Apply the access list named smtp inbound on the outside interface.

access-group smtp in interface outside

!--- Instruct the ASA to hand any traffic destined for 10.1.2.0
!--- to the router at 10.1.1.2.


route inside 10.1.2.0 255.255.255.0 10.1.1.2 1

!--- Set the default route to 203.0.113.2.
!--- The ASA assumes that this address is a router address.


route outside 0.0.0.0 0.0.0.0 203.0.113.2 1

Mail server na rede externa

Diagrama de Rede

A configuração que é descrita nesta seção usa esta instalação de rede:

Configuração ASA

Esta é a configuração ASA para este exemplo:

ASA#show run
: Saved
:
ASA Version 9.1(2)
!
--Omitted--
!--- Define the IP address for the inside interface.

interface GigabitEthernet0/2
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0

!--- Define the IP address for the outside interface.

interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 203.0.113.1 255.255.255.0
!
--Omitted--

!--- This command indicates that all addresses in the 10.1.2.x range
!--- that pass from the inside (GigabitEthernet0/2) to a corresponding global
!--- destination are done with dynamic PAT.
!--- As outbound traffic is permitted by default on the ASA, no
!--- static commands are needed.


object network obj-10.1.2.0
subnet 10.1.2.0 255.255.255.0
nat (inside,outside) dynamic interface

!--- Creates a static route for the 10.1.2.x network.
!--- The ASA forwards packets with these addresses to the router
!--- at 10.1.1.2

route inside 10.1.2.0 255.255.255.0 10.1.1.2 1

!--- Sets the default route for the ASA Firewall at 203.0.113.2

route outside 0.0.0.0 0.0.0.0 203.0.113.2 1

--Omitted--

: end

Verificar

Use a informação que é fornecida nesta seção a fim verificar que sua configuração trabalha corretamente.

Mail server na rede do DMZ

Sibilo TCP

Os testes de ping TCP uma conexão sobre o TCP (o padrão é Internet Control Message Protocol (ICMP)). Um sibilo TCP envia pacotes SYN e considera o sibilo bem sucedido se o dispositivo de destino envia um pacote SYN-ACK. Você pode executar no máximo dois sibilos do concurrent TCP de cada vez.

Aqui está um exemplo:

ciscoasa(config)# ping tcp
Interface: outside
Target IP address: 203.0.113.10
Destination port: [80] 25
Specify source? [n]: y
Source IP address: 203.0.113.2
Source port: [0] 1234
Repeat count: [5] 5
Timeout in seconds: [2] 2
Type escape sequence to abort.
Sending 5 TCP SYN requests to 203.0.113.10 port 25
from 203.0.113.2 starting port 1234, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Conexão

O ASA é um firewall stateful, e o tráfego de retorno do mail server é permitido para trás com o Firewall porque combina uma conexão na tabela de conexão do Firewall. O tráfego que combina uma conexão atual é permitido com o Firewall sem ser obstruída por um Access Control List da relação (ACL).

No exemplo seguinte, o cliente na interface externa estabelece uma conexão ao host de 203.0.113.10 da relação DMZ. Esta conexão é feita com o protocolo de TCP e foi inativa por dois segundos. As bandeiras da conexão indicam o estado atual desta conexão:

ciscoasa(config)# show conn  address  172.16.31.10
1 in use, 2 most used
TCP outside  203.0.113.2:16678 dmz  172.16.31.10:25, idle 0:00:02, bytes 921, flags UIO

Registro

O Firewall ASA gera Syslog durante a operação normal. Os Syslog variam na verbosidade baseada na configuração de registro. Esta saída mostra dois Syslog que aparecem a nível seis (o nível informacional) e nível sete (o nível de debug):

ciscoasa(config)# show logging  | i 172.16.31.10

%ASA-7-609001: Built local-host dmz:172.16.31.10

%ASA-6-302013: Built inbound TCP connection 11 for outside:203.0.113.2/16678
(203.0.113.2/16678) to dmz:172.16.31.10/25 (203.0.113.10/25)

O segundo Syslog neste exemplo indica que o Firewall construiu uma conexão em sua tabela de conexão para este tráfego específico entre o cliente e servidor. Se o Firewall foi configurado a fim obstruir esta tentativa de conexão, ou algum outro fator inibiu a criação desta conexão (confinamentos de recurso ou um possível erro de configuração), o Firewall não geraria um log que indicasse que a conexão esteve construída. Em lugar de, registraria uma razão para que a conexão seja negada ou uma indicação sobre o fator que inibiu a conexão da criação. 

Por exemplo, se o ACL na parte externa não é configurado para permitir 172.16.31.10 na porta 25, a seguir você veria este log quando o tráfego é negado:

%ASA-4-106100: o outside_int da lista de acesso negou tcp outside/203.0.113.2(3756) - >
   dmz/172.16.31.10(25) intervalo batida-CNT 5 300-second

Isto ocorreria quando um ACL é faltante ou desconfigurado como mostrado aqui:

access-list outside_int extended permit tcp any4 host 172.16.31.10 eq http

access-list outside_int extended deny ip any4 any4

Traduções NAT (xlate)

A fim confirmar que as traduções estão criadas, você pode verificar a tabela do xlate (tradução). O comando show xlate, quando combinado com o palavra-chave local e o endereço IP de Um ou Mais Servidores Cisco ICM NT do host interno, mostra todas as entradas que estam presente na tabela de tradução para esse host. A saída seguinte mostra que há uma tradução construída atualmente para este host entre o DMZ e as interfaces externas. O endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor DMZ é traduzido ao endereço de 203.0.113.10 pela configuração precedente. As bandeiras que estão listadas (s neste exemplo) indicam que a tradução é estática

ciscoasa(config)# show nat detail
Manual NAT Policies (Section 1)
1 (dmz) to (outside) source static obj-172.16.31.10 obj-203.0.113.10
    translate_hits = 7, untranslate_hits = 6
    Source - Origin: 172.16.31.10/32, Translated: 203.0.113.10/32

Auto NAT Policies (Section 2)
1 (dmz) to (outside) source static obj-172.16.31.10 203.0.113.10
    translate_hits = 1, untranslate_hits = 5
    Source - Origin: 172.16.31.10/32, Translated: 203.0.113.10/32
2 (inside) to (dmz) source static obj-10.1.1.0 obj-10.1.1.0
    translate_hits = 0, untranslate_hits = 0
    Source - Origin: 10.1.1.0/24, Translated: 10.1.1.0/24
3 (inside) to (outside) source dynamic obj1-10.1.1.0 interface
    translate_hits = 0, untranslate_hits = 0
    Source - Origin: 10.1.1.0/24, Translated: 203.0.113.1/24

ciscoasa(config)# show xlate
4 in use, 4 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
       s - static, T - twice, N - net-to-net
NAT from dmz:172.16.31.10 to outside:203.0.113.10
    flags s idle 0:10:48 timeout 0:00:00
NAT from inside:10.1.1.0/24 to dmz:10.1.1.0/24
    flags sI idle 79:56:17 timeout 0:00:00
NAT from dmz:172.16.31.10 to outside:203.0.113.10
    flags sT idle 0:01:02 timeout 0:00:00
NAT from outside:0.0.0.0/0 to dmz:0.0.0.0/0
    flags sIT idle 0:01:02 timeout 0:00:00

Mail server na rede interna

Sibilo TCP

Está aqui um sibilo do exemplo TCP output:

ciscoasa(config)# PING TCP
Interface: outside
Target IP address: 203.0.113.10
Destination port: [80] 25
Specify source? [n]: y
Source IP address: 203.0.113.2
Source port: [0] 1234
Repeat count: [5] 5
Timeout in seconds: [2] 2
Type escape sequence to abort.
Sending 5 TCP SYN requests to 203.0.113.10 port 25
from 203.0.113.2 starting port 1234, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Conexão

Está aqui uma verificação do Exemplo de Conexão:

ciscoasa(config)# show conn  address  10.1.2.10
1 in use, 2 most used
TCP outside  203.0.113.2:5672 inside  10.1.2.10:25, idle 0:00:05, bytes 871, flags UIO

Registro

Está aqui um Syslog do exemplo:

%ASA-6-302013: Built inbound TCP connection 553 for outside:203.0.113.2/19198
(203.0.113.2/19198) to inside:10.1.2.10/25 (203.0.113.10/25)

Traduções NAT (xlate)

Estão aqui algumas saídas nat do detalhe e do comando show xlate da mostra do exemplo:

ciscoasa(config)# show nat detail

Auto NAT Policies (Section 2)
1 (inside) to (outside) source static obj-10.1.2.10 203.0.113.10
    translate_hits = 0, untranslate_hits = 15
    Source - Origin: 10.1.2.10/32, Translated: 203.0.113.10/32
2 (inside) to (dmz) source static obj-10.1.1.0 obj-10.1.1.0
    translate_hits = 0, untranslate_hits = 0
    Source - Origin: 10.1.1.0/24, Translated: 10.1.1.0/24
3 (inside) to (outside) source dynamic obj1-10.1.1.0 interface
    translate_hits = 0, untranslate_hits = 0
    Source - Origin: 10.1.1.0/24, Translated: 203.0.113.1/24
 
ciscoasa(config)# show xlate
 

NAT from inside:10.1.2.10 to outside:203.0.113.10
    flags s idle 0:00:03 timeout 0:00:00

Mail server na rede externa

Sibilo TCP 

Está aqui um sibilo do exemplo TCP output:

ciscoasa# PING TCP
Interface: inside
Target IP address: 203.1.113.10
Destination port: [80] 25
Specify source? [n]: y
Source IP address: 10.1.2.10
Source port: [0] 1234
Repeat count: [5] 5
Timeout in seconds: [2] 2
Type escape sequence to abort.
Sending 5 TCP SYN requests to 203.1.113.10 port 25
from 10.1.2.10 starting port 1234, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Conexão

Está aqui uma verificação do Exemplo de Conexão:

ciscoasa# show conn address 203.1.113.10
1 in use, 2 most used
TCP inside 10.1.2.10:13539 outside 203.1.113.10:25, idle 0:00:02, bytes 898, flags UIO

Registro

Está aqui um Syslog do exemplo:

ciscoasa# show logging | i 203.1.113.10
 
%ASA-6-302013: Built outbound TCP connection 590 for outside:203.1.113.10/25
(203.1.113.10/25) to inside:10.1.2.10/1234 (203.0.113.1/1234)

Traduções NAT (xlate)

Está aqui um comando show xlate do exemplo output:

ciscoasa# show xlate | i 10.1.2.10

TCP PAT from inside:10.1.2.10/1234 to outside:203.0.113.1/1234 flags ri idle
0:00:04 timeout 0:00:30

Troubleshooting

O ASA fornece as ferramentas múltiplas com que para pesquisar defeitos a Conectividade. Se a edição persiste depois que você verifica a configuração e verifica as saídas que estão descritas na seção anterior, estas ferramentas e técnicas puderam ajudá-lo a determinar a causa de sua falha de conectividade.

Mail server na rede do DMZ

Pacote-projétil luminoso

A funcionalidade do projétil luminoso do pacote no ASA permite que você especifique um pacote simulado e ver todas as várias etapas, verificações, e funções que o Firewall atravessa quando processa o tráfego. Com esta ferramenta, é útil identificar um exemplo do tráfego que você acredite deva ser reservado passar com o Firewall, e se use que five-tupple a fim simular o tráfego. No exemplo seguinte, o projétil luminoso do pacote é usado a fim simular uma tentativa de conexão que encontre estes critérios:

  • O pacote simulado chega na parte externa.
  • O protocolo que é usado é TCP.
  • O endereço IP cliente simulado é 203.0.113.2.
  • O cliente envia o tráfego que é originado da porta 1234.
  • O tráfego é destinado a um server no IP address 203.0.113.10.
  • O tráfego é destinado à porta 25.

Está aqui um projétil luminoso do pacote do exemplo output:

packet-tracer input outside tcp 203.0.113.2 1234 203.0.113.10 25 detailed

--Omitted--
 
Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (dmz,outside) source static obj-172.16.31.10 obj-203.0.113.10
Additional Information:
NAT divert to egress interface dmz
Untranslate 203.0.113.10/25 to 172.16.31.10/25

Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: dmz
output-status: up
output-line-status: up
Action: allow

Está aqui um exemplo no Cisco Adaptive Security Device Manager (ASDM):

Observe que não há nenhuma menção da relação DMZ nas saídas precedentes. Isto é pelo projeto do projétil luminoso do pacote. A ferramenta di-lo como os processos do Firewall que a tentativa do tipo de conexão, que inclui como a distribuiria e fora de que relação.

Dica: Para obter informações adicionais sobre da característica do projétil luminoso do pacote, refira os pacotes de seguimento com seção do projétil luminoso do pacote do manual de configuração do 5500 Series de Cisco ASA usando o CLI, os 8.4 e os 8.6.

Captura do pacote

O Firewall ASA pode capturar o tráfego que incorpora ou deixa suas relações. Esta funcionalidade da captação é muito útil porque pode definitivamente provar em se o tráfego chega, ou sae de, um Firewall. O exemplo seguinte mostra a configuração de duas captações nomeadas capd e capout no DMZ e nas interfaces externas, respectivamente. Os comandos capture usam uma palavra-chave do fósforo, que permita que você seja específico sobre o tráfego que você quer capturar.

Para o capd da captação neste exemplo, indica-se que você quer combinar o tráfego visto na relação DMZ (ingresso ou saída) esse host 172.16.31.10/host 203.0.113.2 dos fósforos TCP. Ou seja você quer capturar todo o tráfego TCP que for enviado do host 172.16.31.10 para hospedar 203.0.113.2, ou vice versa. O uso da palavra-chave do fósforo permite que o Firewall capture esse tráfego bidirecional. O comando capture que é definido para a interface externa não provê o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor de e-mail interno porque o Firewall conduz um NAT nesse IP address do mail server. Em consequência, você não pode combinar com esse endereço IP do servidor. Em lugar de, o exemplo seguinte usa a palavra a fim indicar que todos os endereços IP de Um ou Mais Servidores Cisco ICM NT possíveis combinariam essa circunstância.

Depois que você configura as captações, você deve então tentar estabelecer outra vez uma conexão e para continuar ver as captações com a mostra capture o comando do <capture_name>. Neste exemplo, você pode ver que o host exterior podia conectar ao mail server, como evidente pelo cumprimento de três vias TCP que é visto nas captações:

ASA#  capture capd interface dmz match tcp host 172.16.31.10 any
ASA#  capture capout interface outside match tcp any host 203.0.113.10

ASA#   show capture capd

3 packets captured

   1: 11:31:23.432655       203.0.113.2.65281 > 172.16.31.10.25: S 780523448:
   780523448(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
   2: 11:31:23.712518       172.16.31.10.25 > 203.0.113.2.65281: S 2123396067:
   2123396067(0) ack 780523449 win 8192 <mss 1024,nop,nop,sackOK,nop,wscale 8>
   3: 11:31:23.712884       203.0.113.2.65281 > 172.16.31.10.25. ack 2123396068
   win 32768

ASA# show capture capout

3 packets captured

   1: 11:31:23.432869       203.0.113.2.65281 > 203.0.113.10.25: S 1633080465:
   1633080465(0) win 8192 <mss 1380,nop,wscale 2,nop,nop,sackOK>
   2: 11:31:23.712472       203.0.113.10.25 > 203.0.113.2.65281: S 95714629:
   95714629(0) ack 1633080466 win 8192 <mss 1024,nop,nop,sackOK,nop,wscale 8>
   3: 11:31:23.712914        203.0.113.2.65281 > 203.0.113.10.25: . ack 95714630
   win 32768

Mail server na rede interna

Pacote-projétil luminoso

Está aqui um projétil luminoso do pacote do exemplo output:

CLI : packet-tracer input outside tcp 203.0.113.2 1234 203.0.113.10 25 detailed
 
--Omitted--

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
object network obj-10.1.2.10
 nat (inside,outside) static 203.0.113.10
Additional Information:
NAT divert to egress interface inside
Untranslate 203.0.113.10/25 to 10.1.2.10/25

Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group smtp in interface outside
access-list smtp extended permit tcp any4 host 10.1.2.10 eq smtp
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0x77dd2c50, priority=13, domain=permit, deny=false
        hits=1, user_data=0x735dc880, cs_id=0x0, use_real_addr, flags=0x0, protocol=6
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
        dst ip/id=10.1.2.10, mask=255.255.255.255, port=25, tag=0, dscp=0x0
        input_ifc=outside, output_ifc=any

Mail server na rede externa

Pacote-projétil luminoso

Está aqui um projétil luminoso do pacote do exemplo output:

CLI :  packet-tracer input inside tcp 10.1.2.10 1234 203.1.113.10 25 detailed
 
--Omitted--
 
Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 203.1.113.0 255.255.255.0 outside
 
Phase: 3
Type: NAT
Subtype:
Result: ALLOW
Config:
object network obj-10.1.2.0
nat (inside,outside) dynamic interface
Additional Information:
Dynamic translate 10.1.2.10/1234 to 203.0.113.1/1234
Forward Flow based lookup yields rule:
in id=0x778b14a8, priority=6, domain=nat, deny=false
hits=11, user_data=0x778b0f48, cs_id=0x0, flags=0x0, protocol=0
src ip/id=10.1.2.0, mask=255.255.255.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0, dscp=0x0
input_ifc=inside, output_ifc=outside

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118958