IP : ネットワーク アドレス変換(NAT)

DMZ の SMTP メール サーバ アクセスのための ASA、の中で、および外部ネットワークを設定して下さい

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に非武装地帯(DMZ)、内部ネットワーク、または外部ネットワークにある Simple Mail Transfer Protocol (SMTP) サーバにアクセスのための Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)を設定する方法を記述されています。

Aastha Bhardwaj、Divya Subramanian、Prapanch Ramamoorthy、および Dinkar Sharma によって貢献される、Cisco TAC エンジニア。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ソフトウェア バージョン 9.1 またはそれ以降を実行する Cisco ASA
  • Cisco IOS ® ソフトウェア リリース 15.1(4)M6 を持つ Cisco 2800C シリーズ ルータ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションは DMZ ネットワーク、内部ネットワーク、または外部ネットワークのメール サーバに達するために ASA を設定する方法を記述します。

: このセクションで使用するコマンドに関する詳細を得るのに Command Lookup Tool登録ユーザのみ)を使用して下さい。

DMZ ネットワークのメール サーバ

ネットワーク図

設定はこのセクションに説明があるこのネットワーク セットアップを使用します:

: この資料で使用する IP アドレッシング方式はインターネットで合法的にルーティング可能ではないです。 これらは RFC 1918 アドレスであり、ラボ環境で使用されたものです。

10.1.1.0/24 でこの例で持っている内部ネットワークが付いている ASA を使用するおよび 203.0.113.0/24 の外部ネットワーク ネットワーク セットアップ。 IP アドレス 172.16.31.10 を持つメール サーバは DMZ ネットワークにいます。 内部ネットワークがアクセスされるメール サーバのために識別ネットワーク アドレス変換(NAT)を設定して下さい。 

メール サーバにアクセスするメール サーバにアクセスし、outside インターフェイスにアクセス リストを結合 する 外部ユーザのために割り当て外部ユーザ スタティック NAT をおよびこの例の outside_int であるアクセス リストを設定して下さい。

ASA の設定

これはこの例のための ASA 設定です:

show run
: Saved
:
ASA Version 9.1(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain
passwd 2KFQnbNIdI.2KYOU encrypted
names

!--- Configure the dmz interface.

interface GigabitEthernet0/0
nameif dmz
security-level 50
ip address 172.16.31.1 255.255.255.0
!

!--- Configure the outside interface.


interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 203.0.113.1 255.255.255.0

!--- Configure inside interface.

interface GigabitEthernet0/2
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
!
boot system disk0:/asa912-k8.bin
ftp mode passive

!--- This access list allows hosts to access
!--- IP address 172.16.31.10 for the SMTP port from outside.


access-list outside_int extended permit tcp any4 host 172.16.31.10 eq smtp

object network obj1-10.1.1.0
 subnet 10.1.1.0 255.255.255.0
nat (inside,outside) dynamic interface

!--- This network static does not use address translation.
!--- Inside hosts appear on the DMZ with their own addresses.


object network obj-10.1.1.0
subnet 10.1.1.0 255.255.255.0
nat (inside,dmz) static obj-10.1.1.0

!--- This Auto-NAT uses address translation.
!--- Hosts that access the mail server from the outside
!--- use the 203.0.113.10 address.


object network obj-172.16.31.10
host 172.16.31.10
nat (dmz,outside) static 203.0.113.10

access-group outside_int in interface outside

route outside 0.0.0.0 0.0.0.0 203.0.113.2 1

timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512

!--- The inspect esmtp command (included in the map) allows
!--- SMTP/ESMTP to inspect the application.


policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!

!--- The inspect esmtp command (included in the map) allows
!--- SMTP/ESMTP to inspect the application.


service-policy global_policy global

ESMTP TLS の設定

電子メール通信のために Transport Layer Security (TLS)暗号化を使用する場合、ASA の Extended Simple Mail Transfer Protocol (ESMTP) インスペクション 機能は(デフォルトで有効に なる)パケットを廃棄します。 有効に なる TLS の電子メールを許可するために次 の 例に示すように ESMTP インスペクション 機能をディセーブルにして下さい。

: 詳細は、Cisco Bug ID CSCtn08326登録ユーザ専用)を参照してください。

ciscoasa(config)#policy-map global_policy
ciscoasa(config-pmap)#class inspection_default
ciscoasa(config-pmap-c)#no inspect esmtp
ciscoasa(config-pmap-c)#exit
ciscoasa(config-pmap)#exit

内部ネットワークのメール サーバ

ネットワーク図

設定はこのセクションに説明があるこのネットワーク セットアップを使用します:

10.1.1.0/24 でこの例で持っている内部ネットワークが付いている ASA を使用するおよび 203.0.113.0/24 の外部ネットワーク ネットワーク セットアップ。 IP アドレス 10.1.2.10 を持つメール サーバは内部ネットワークにいます。

ASA の設定

これはこの例のための ASA 設定です:

ASA#show run
: Saved
:
ASA Version 9.1(2)
!
--Omitted--
!

!--- Define the IP address for the inside interface.

interface GigabitEthernet0/2
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0

!--- Define the IP address for the outside interface.

interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 203.0.113.1 255.255.255.0
!
--Omitted--

!--- Create an access list that permits Simple
!--- Mail Transfer Protocol (SMTP) traffic from anywhere
!--- to the host at 203.0.113.10 (our server). The name of this list is
!--- smtp. Add additional lines to this access list as required.
!--- Note: There is one and only one access list allowed per
!--- interface per direction, for example, inbound on the outside interface.
!--- Because of limitation, any additional lines that need placement in
!--- the access list need to be specified here. If the server
!--- in question is not SMTP, replace the occurrences of SMTP with
!--- www, DNS, POP3, or whatever else is required.


access-list smtp extended permit tcp any host 10.1.2.10 eq smtp

--Omitted--

!--- Specify that any traffic that originates inside from the
!--- 10.1.2.x network NATs (PAT) to 203.0.113.9 if
!--- such traffic passes through the outside interface.


object network obj-10.1.2.0
subnet 10.1.2.0 255.255.255.0
nat (inside,outside) dynamic 203.0.113.9

!--- Define a static translation between 10.1.2.10 on the inside and
!--- 203.0.113.10 on the outside. These are the addresses to be used by
!--- the server located inside the ASA.


object network obj-10.1.2.10
host 10.1.2.10
nat (inside,outside) static 203.0.113.10

!--- Apply the access list named smtp inbound on the outside interface.

access-group smtp in interface outside

!--- Instruct the ASA to hand any traffic destined for 10.1.2.0
!--- to the router at 10.1.1.2.


route inside 10.1.2.0 255.255.255.0 10.1.1.2 1

!--- Set the default route to 203.0.113.2.
!--- The ASA assumes that this address is a router address.


route outside 0.0.0.0 0.0.0.0 203.0.113.2 1

外部ネットワークのメール サーバ

ネットワーク図

設定はこのセクションに説明があるこのネットワーク セットアップを使用します:

ASA の設定

これはこの例のための ASA 設定です:

ASA#show run
: Saved
:
ASA Version 9.1(2)
!
--Omitted--
!--- Define the IP address for the inside interface.

interface GigabitEthernet0/2
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0

!--- Define the IP address for the outside interface.

interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 203.0.113.1 255.255.255.0
!
--Omitted--

!--- This command indicates that all addresses in the 10.1.2.x range
!--- that pass from the inside (GigabitEthernet0/2) to a corresponding global
!--- destination are done with dynamic PAT.
!--- As outbound traffic is permitted by default on the ASA, no
!--- static commands are needed.


object network obj-10.1.2.0
subnet 10.1.2.0 255.255.255.0
nat (inside,outside) dynamic interface

!--- Creates a static route for the 10.1.2.x network.
!--- The ASA forwards packets with these addresses to the router
!--- at 10.1.1.2

route inside 10.1.2.0 255.255.255.0 10.1.1.2 1

!--- Sets the default route for the ASA Firewall at 203.0.113.2

route outside 0.0.0.0 0.0.0.0 203.0.113.2 1

--Omitted--

: end

確認

情報を使用して下さい設定はきちんと機能することを確認するためにこのセクションで提供される。

DMZ ネットワークのメール サーバ

TCP PING

TCP pingテスト TCP 上の接続(デフォルトはインターネット制御メッセージ プロトコル (ICMP)です)。 TCP PING はデスティネーションデバイスが SYN ACK パケットを送信 する場合 Syn パケットを送信し、PING を成功と見なします。 最高で 2 つの同時 TCP ping を一度に実行できます。

次に例を示します。

ciscoasa(config)# ping tcp
Interface: outside
Target IP address: 203.0.113.10
Destination port: [80] 25
Specify source? [n]: y
Source IP address: 203.0.113.2
Source port: [0] 1234
Repeat count: [5] 5
Timeout in seconds: [2] 2
Type escape sequence to abort.
Sending 5 TCP SYN requests to 203.0.113.10 port 25
from 203.0.113.2 starting port 1234, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

接続

ASA はステートフル ファイアウォールであり、ファイアウォール 接続テーブルの接続と一致するのでメール サーバからのリターントラフィックはファイアウォールによって許可されます。 トラフィックはファイアウォールによってインターフェイス Access Control List (ACL)によってブロックされないで現在の接続と一致する許可されます。

次 の 例では、outside インターフェイスのクライアントは DMZ インターフェイスの 203.0.113.10 ホストへの接続を確立します。 TCP プロトコルのこの接続はなされ、ずっと 2 秒の間アイドル状態です。 Connection フラグはこの接続の現在のステートを示します:

ciscoasa(config)# show conn  address  172.16.31.10
1 in use, 2 most used
TCP outside  203.0.113.2:16678 dmz  172.16.31.10:25, idle 0:00:02, bytes 921, flags UIO

ロギング

ASA ファイアウォールは正常動作中に syslog を生成します。 syslog の冗長さはログ設定に基づいて変化します。 この出力はレベル 6 (情報レベル)およびレベル 7 (デバッグレベル)で現われる 2 syslog を示したものです:

ciscoasa(config)# show logging  | i 172.16.31.10

%ASA-7-609001: Built local-host dmz:172.16.31.10

%ASA-6-302013: Built inbound TCP connection 11 for outside:203.0.113.2/16678
(203.0.113.2/16678) to dmz:172.16.31.10/25 (203.0.113.10/25)

この例の第 2 syslog はファイアウォールがクライアント および サーバ間のこの特定のトラフィックのための接続テーブルで接続を構築したことを示します。 この接続試行をブロックするようにファイアウォールが設定された場合や、その他の要因(リソース制約または設定ミスの可能性)によってこの接続の作成が妨げられる場合は、ファイアウォールは接続が確立されたことを示すログを生成しません。 その代り、それは否定される接続のための原因をまたは作成から接続を禁じたファクタについての示す値記録 します。 

たとえば外部の ACL がポート 25 の許可 172.16.31.10 に設定されなければ、そしてトラフィックが拒否されるときこのログが表示されます:

%ASA-4-106100: access-list outside_int は TCP outside/203.0.113.2(3756) を- > 否定しました
   dmz/172.16.31.10(25) ヒットcnt 5 300 第 2 間隔

これは ACL がここに示されているように抜けているまたは不適切に設定されているとき発生します:

access-list outside_int extended permit tcp any4 host 172.16.31.10 eq http

access-list outside_int extended deny ip any4 any4

NAT 変換(Xlate)

変換が作成されることを確認するために、Xlate (変換)表をチェックできます。 コマンド show xlate は、ローカルキーワードおよび内部ホスト IP アドレスと結合されたとき、そのホストのために変換テーブルにあるエントリすべてを示します。 次の出力は現在 DMZ と outside インターフェイス間のこのホストのために構築される変換があることを示したものです。 DMZ サーバのIPアドレスは以前のコンフィギュレーションごとの 203.0.113.10 アドレスに変換されます。 リストされているフラグは(この例の s)変換が静的であることを示します。 

ciscoasa(config)# show nat detail
Manual NAT Policies (Section 1)
1 (dmz) to (outside) source static obj-172.16.31.10 obj-203.0.113.10
    translate_hits = 7, untranslate_hits = 6
    Source - Origin: 172.16.31.10/32, Translated: 203.0.113.10/32

Auto NAT Policies (Section 2)
1 (dmz) to (outside) source static obj-172.16.31.10 203.0.113.10
    translate_hits = 1, untranslate_hits = 5
    Source - Origin: 172.16.31.10/32, Translated: 203.0.113.10/32
2 (inside) to (dmz) source static obj-10.1.1.0 obj-10.1.1.0
    translate_hits = 0, untranslate_hits = 0
    Source - Origin: 10.1.1.0/24, Translated: 10.1.1.0/24
3 (inside) to (outside) source dynamic obj1-10.1.1.0 interface
    translate_hits = 0, untranslate_hits = 0
    Source - Origin: 10.1.1.0/24, Translated: 203.0.113.1/24

ciscoasa(config)# show xlate
4 in use, 4 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
       s - static, T - twice, N - net-to-net
NAT from dmz:172.16.31.10 to outside:203.0.113.10
    flags s idle 0:10:48 timeout 0:00:00
NAT from inside:10.1.1.0/24 to dmz:10.1.1.0/24
    flags sI idle 79:56:17 timeout 0:00:00
NAT from dmz:172.16.31.10 to outside:203.0.113.10
    flags sT idle 0:01:02 timeout 0:00:00
NAT from outside:0.0.0.0/0 to dmz:0.0.0.0/0
    flags sIT idle 0:01:02 timeout 0:00:00

内部ネットワークのメール サーバ

TCP PING

出力される TCP PING 例ここにあります:

ciscoasa(config)# PING TCP
Interface: outside
Target IP address: 203.0.113.10
Destination port: [80] 25
Specify source? [n]: y
Source IP address: 203.0.113.2
Source port: [0] 1234
Repeat count: [5] 5
Timeout in seconds: [2] 2
Type escape sequence to abort.
Sending 5 TCP SYN requests to 203.0.113.10 port 25
from 203.0.113.2 starting port 1234, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

接続

例接続確認はここにあります:

ciscoasa(config)# show conn  address  10.1.2.10
1 in use, 2 most used
TCP outside  203.0.113.2:5672 inside  10.1.2.10:25, idle 0:00:05, bytes 871, flags UIO

ロギング

syslog 例はここにあります:

%ASA-6-302013: Built inbound TCP connection 553 for outside:203.0.113.2/19198
(203.0.113.2/19198) to inside:10.1.2.10/25 (203.0.113.10/25)

NAT 変換(Xlate)

いくつかの例 show nat 詳細および show xlate コマンド出力はここにあります:

ciscoasa(config)# show nat detail

Auto NAT Policies (Section 2)
1 (inside) to (outside) source static obj-10.1.2.10 203.0.113.10
    translate_hits = 0, untranslate_hits = 15
    Source - Origin: 10.1.2.10/32, Translated: 203.0.113.10/32
2 (inside) to (dmz) source static obj-10.1.1.0 obj-10.1.1.0
    translate_hits = 0, untranslate_hits = 0
    Source - Origin: 10.1.1.0/24, Translated: 10.1.1.0/24
3 (inside) to (outside) source dynamic obj1-10.1.1.0 interface
    translate_hits = 0, untranslate_hits = 0
    Source - Origin: 10.1.1.0/24, Translated: 203.0.113.1/24
 
ciscoasa(config)# show xlate
 

NAT from inside:10.1.2.10 to outside:203.0.113.10
    flags s idle 0:00:03 timeout 0:00:00

外部ネットワークのメール サーバ

TCP PING 

出力される TCP PING 例ここにあります:

ciscoasa# PING TCP
Interface: inside
Target IP address: 203.1.113.10
Destination port: [80] 25
Specify source? [n]: y
Source IP address: 10.1.2.10
Source port: [0] 1234
Repeat count: [5] 5
Timeout in seconds: [2] 2
Type escape sequence to abort.
Sending 5 TCP SYN requests to 203.1.113.10 port 25
from 10.1.2.10 starting port 1234, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

接続

例接続確認はここにあります:

ciscoasa# show conn address 203.1.113.10
1 in use, 2 most used
TCP inside 10.1.2.10:13539 outside 203.1.113.10:25, idle 0:00:02, bytes 898, flags UIO

ロギング

syslog 例はここにあります:

ciscoasa# show logging | i 203.1.113.10
 
%ASA-6-302013: Built outbound TCP connection 590 for outside:203.1.113.10/25
(203.1.113.10/25) to inside:10.1.2.10/1234 (203.0.113.1/1234)

NAT 変換(Xlate)

show xlate コマンド出力はここにあります:

ciscoasa# show xlate | i 10.1.2.10

TCP PAT from inside:10.1.2.10/1234 to outside:203.0.113.1/1234 flags ri idle
0:00:04 timeout 0:00:30

トラブルシューティング

ASA は接続をトラブルシュートするための複数のツールを提供しています。 設定を確認した、前のセクションに説明がある出力をチェックする後問題が続けば、これらのツールおよび手法は接続失敗の原因を判別するのを助けるかもしれません。

DMZ ネットワークのメール サーバ

パケット トレーサ

ASA のパケット トレーサー機能性はトラフィックを処理するときファイアウォールがによって行くこと模倣されたパケットを規定 し、さまざまなステップ、チェックおよび機能すべてを表示することを可能にします。 このツールによって、トラフィックを模倣するためにパススルー ファイアウォール、および使用に許す必要があるその five-tupple 信じるトラフィックの例を識別することは有用です。 次 の 例ではこれらの条件を満たす接続の試みを模倣するために、パケット トレーサーは使用されます:

  • 模倣されたパケットは外部に着きます。
  • プロトコルは使用される TCP です。
  • 模倣されたクライアントIPアドレスは 203.0.113.2 です。
  • ポートから 1234 ソースをたどられるクライアントはトラフィックを送信 します。
  • トラフィックは IP アドレス 203.0.113.10 のサーバに向かいます。
  • トラフィックはポート 25 に向かいます。

出力される例パケット トレーサーはここにあります:

packet-tracer input outside tcp 203.0.113.2 1234 203.0.113.10 25 detailed

--Omitted--
 
Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (dmz,outside) source static obj-172.16.31.10 obj-203.0.113.10
Additional Information:
NAT divert to egress interface dmz
Untranslate 203.0.113.10/25 to 172.16.31.10/25

Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: dmz
output-status: up
output-line-status: up
Action: allow

Cisco Adaptive Security Device Manager (ASDM)の例はここにあります:

前の出力の DMZ インターフェイスの言及がないことに注意して下さい。 これはパケット トレーサの設計による動作です。 ツールはどのようにそれをどのようにルーティングし、どれからインターフェイスか含む、接続の種類試みファイアウォール プロセス告げます。

ヒント: パケット トレーサー機能についてのその他の情報に関しては、CLI、8.4 および 8.6 を使用して Cisco ASA 5500 シリーズ コンフィギュレーション ガイドパケット トレーサー セクションのトレース パケットを参照して下さい。

パケット キャプチャ

ASA ファイアウォールでは、インターフェイスに着信または発信するトラフィックをキャプチャできます。 このキャプチャ機能性はトラフィックは限定的に証明到着するできたり、またはから、ファイアウォールかどうかで去るので非常に役立ちます。 次 の 例は DMZ および outside インターフェイスの capd および capout と名前を挙げられる 2 人のキャプチャの設定をそれぞれ示します。 キャプチャ コマンドはキャプチャ したいと思うトラフィックについて特定であることを可能にするキーワードを一致するのに使用します。

この例のキャプチャ capd に関しては、(入力か出力)その DMZ インターフェイスで見られて一致する TCPホスト 172.16.31.10/host 203.0.113.2 とトラフィックを一致するたいと思うことが示されます。 すなわち、203.0.113.2 をホストするためにホスト 172.16.31.10 から送信 されるまたは逆にたいと思います TCPトラフィックをキャプチャ し。 match キーワードを使用すると、ファイアウォールでトラフィックを双方向でキャプチャできるようになります。 キャプチャ コマンドは outside インターフェイスのために定義されるファイアウォールがそのメール サーバ IP アドレスの NAT を行なうので内部メールサーバ IP アドレスを参照しません。 その結果、そのサーバのIPアドレスと一致することができません。 その代り、次 の 例はすべての可能性のある IP アドレスがその状態を一致することを示すためにワードを使用します。

キャプチャを設定した後、それから接続を再度確立するように試みる必要があり、提示キャプチャ <capture_name> を持つキャプチャを表示することを続行するために命じて下さい。 この例では、キャプチャで見られる外部ホストが TCP 3 ウェイ ハンドシェイクによって明白ようにメール サーバに接続できたことがわかります:

ASA#  capture capd interface dmz match tcp host 172.16.31.10 any
ASA#  capture capout interface outside match tcp any host 203.0.113.10

ASA#   show capture capd

3 packets captured

   1: 11:31:23.432655       203.0.113.2.65281 > 172.16.31.10.25: S 780523448:
   780523448(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
   2: 11:31:23.712518       172.16.31.10.25 > 203.0.113.2.65281: S 2123396067:
   2123396067(0) ack 780523449 win 8192 <mss 1024,nop,nop,sackOK,nop,wscale 8>
   3: 11:31:23.712884       203.0.113.2.65281 > 172.16.31.10.25. ack 2123396068
   win 32768

ASA# show capture capout

3 packets captured

   1: 11:31:23.432869       203.0.113.2.65281 > 203.0.113.10.25: S 1633080465:
   1633080465(0) win 8192 <mss 1380,nop,wscale 2,nop,nop,sackOK>
   2: 11:31:23.712472       203.0.113.10.25 > 203.0.113.2.65281: S 95714629:
   95714629(0) ack 1633080466 win 8192 <mss 1024,nop,nop,sackOK,nop,wscale 8>
   3: 11:31:23.712914        203.0.113.2.65281 > 203.0.113.10.25: . ack 95714630
   win 32768

内部ネットワークのメール サーバ

パケット トレーサ

出力される例パケット トレーサーはここにあります:

CLI : packet-tracer input outside tcp 203.0.113.2 1234 203.0.113.10 25 detailed
 
--Omitted--

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
object network obj-10.1.2.10
 nat (inside,outside) static 203.0.113.10
Additional Information:
NAT divert to egress interface inside
Untranslate 203.0.113.10/25 to 10.1.2.10/25

Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group smtp in interface outside
access-list smtp extended permit tcp any4 host 10.1.2.10 eq smtp
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0x77dd2c50, priority=13, domain=permit, deny=false
        hits=1, user_data=0x735dc880, cs_id=0x0, use_real_addr, flags=0x0, protocol=6
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
        dst ip/id=10.1.2.10, mask=255.255.255.255, port=25, tag=0, dscp=0x0
        input_ifc=outside, output_ifc=any

外部ネットワークのメール サーバ

パケット トレーサ

出力される例パケット トレーサーはここにあります:

CLI :  packet-tracer input inside tcp 10.1.2.10 1234 203.1.113.10 25 detailed
 
--Omitted--
 
Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 203.1.113.0 255.255.255.0 outside
 
Phase: 3
Type: NAT
Subtype:
Result: ALLOW
Config:
object network obj-10.1.2.0
nat (inside,outside) dynamic interface
Additional Information:
Dynamic translate 10.1.2.10/1234 to 203.0.113.1/1234
Forward Flow based lookup yields rule:
in id=0x778b14a8, priority=6, domain=nat, deny=false
hits=11, user_data=0x778b0f48, cs_id=0x0, flags=0x0, protocol=0
src ip/id=10.1.2.0, mask=255.255.255.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0, dscp=0x0
input_ifc=inside, output_ifc=outside

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118958