Toon posts:

[PIX501] Port forwarding werkt, behalve SMTP

Pagina: 1
Acties:

vrijdag 25 april 2008 15:56

Acties:
  • Mexxwelll
  • Registratie: Juli 2005
  • Laatst online: 02-02 12:43

Mexxwelll

Topicstarter
Beste Tweakers,

Ik ben op het moment een PIX firewall van Cisco aan het configureren, alle porten die nodig zijn zijn geforward, behalve het SMTP protocol.

Ik test elke port door extern een telnet sessie op te starten en dan ip + port in te voeren, bij de andere porten krijg ik reactie en bij SMTP krijg ik een timeout.

Zover ik kan zien staat de port open, iemand enig idee waar het hier fout gaat?

Alvast bedankt!

[EDIT]
Het schijnt dat planet internet onze smtp port blokt, is het mogelijk om dit te omzeilen op de een of andere manier?

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143

PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname etsfw
domain-name etsbv.local
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 192.168.10.4 ETSPDC
name 192.168.10.12 Voicemail
access-list outside_access_in permit tcp any interface outside eq ftp 
access-list outside_access_in permit tcp any interface outside eq smtp 
access-list outside_access_in permit udp any interface outside 
access-list outside_access_in permit tcp any interface outside eq 47 
access-list outside_access_in permit tcp any interface outside eq www 
access-list outside_access_in permit tcp any interface outside eq https 
access-list outside_access_in permit tcp any interface outside eq pptp 
access-list outside_access_in permit tcp any interface outside eq 5900 
access-list outside_access_in permit udp any interface outside eq 5900 
access-list outside_access_in permit tcp any interface outside eq 29500 
access-list outside_access_in permit udp any interface outside eq 29500 
access-list outside_access_in permit tcp any interface outside eq 29501 
access-list outside_access_in permit udp any interface outside eq 29501 
access-list outside_access_in permit tcp any interface outside eq 35000 
access-list outside_access_in permit tcp any interface outside eq 35001 
access-list outside_access_in permit tcp any interface outside eq 35002 
access-list outside_access_in permit tcp any interface outside eq 40081 
access-list inside_outbound_nat0_acl permit ip host ETSPDC 192.168.10.192 255.255.255.224 
access-list inside_outbound_nat0_acl permit ip host Voicemail 192.168.10.192 255.255.255.224 
access-list outside_cryptomap_dyn_20 permit ip any 192.168.10.192 255.255.255.224 
pager lines 24
logging on
logging host inside ETSPDC
mtu outside 1500
mtu inside 1500
ip address outside 10.0.0.254 255.0.0.0
ip address inside 192.168.10.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool ETS 192.168.10.200-192.168.10.220
pdm location 192.168.1.0 255.255.255.0 inside
pdm location 10.0.0.0 255.0.0.0 inside
pdm location ETSPDC 255.255.255.255 inside
pdm location Voicemail 255.255.255.255 inside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
global (inside) 20 ETSPDC
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 192.168.10.0 255.255.255.0 0 0
static (inside,outside) tcp interface ftp Voicemail ftp netmask 255.255.255.255 0 0 
static (inside,outside) tcp interface www ETSPDC www netmask 255.255.255.255 0 0 
static (inside,outside) udp interface 25 ETSPDC 25 netmask 255.255.255.255 0 0 
static (inside,outside) tcp interface https ETSPDC https netmask 255.255.255.255 0 0 
static (inside,outside) tcp interface pptp ETSPDC pptp netmask 255.255.255.255 0 0 
static (inside,outside) tcp interface 5900 ETSPDC 5900 netmask 255.255.255.255 0 0 
static (inside,outside) udp interface 5900 ETSPDC 5900 netmask 255.255.255.255 0 0 
static (inside,outside) tcp interface 29500 ETSPDC 29500 netmask 255.255.255.255 0 0 
static (inside,outside) udp interface 29500 ETSPDC 29500 netmask 255.255.255.255 0 0 
static (inside,outside) tcp interface 29501 ETSPDC 29501 netmask 255.255.255.255 0 0 
static (inside,outside) udp interface 29501 ETSPDC 29501 netmask 255.255.255.255 0 0 
static (inside,outside) tcp interface 35000 ETSPDC 35000 netmask 255.255.255.255 0 0 
static (inside,outside) tcp interface 35001 ETSPDC 35001 netmask 255.255.255.255 0 0 
static (inside,outside) tcp interface 35002 ETSPDC 35002 netmask 255.255.255.255 0 0 
static (inside,outside) tcp interface 40081 ETSPDC 40081 netmask 255.255.255.255 0 0 
static (inside,outside) tcp interface 47 ETSPDC 47 netmask 255.255.255.255 0 0 
static (inside,outside) tcp interface smtp ETSPDC smtp netmask 255.255.255.255 0 0 
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 10.0.0.2 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server TACACS+ max-failed-attempts 3 
aaa-server TACACS+ deadtime 10 
aaa-server RADIUS protocol radius 
aaa-server RADIUS max-failed-attempts 3 
aaa-server RADIUS deadtime 10 
aaa-server LOCAL protocol local 
http server enable
http 192.168.1.0 255.255.255.0 inside
http 192.168.10.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
sysopt connection permit-pptp
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac 
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication LOCAL 
crypto map outside_map interface outside
isakmp enable outside
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup ETS address-pool ETS
vpngroup ETS dns-server ETSPDC
vpngroup ETS wins-server ETSPDC
vpngroup ETS default-domain ets.local
vpngroup ETS idle-time 1800
vpngroup ETS password ********
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group PPTP-VPDN-GROUP accept dialin pptp
vpdn group PPTP-VPDN-GROUP ppp authentication pap
vpdn group PPTP-VPDN-GROUP ppp authentication chap
vpdn group PPTP-VPDN-GROUP client configuration address local ETS
vpdn group PPTP-VPDN-GROUP client configuration dns ETSPDC 
vpdn group PPTP-VPDN-GROUP client configuration wins ETSPDC 
vpdn group PPTP-VPDN-GROUP pptp echo 60
vpdn group PPTP-VPDN-GROUP client authentication local
vpdn username edwin password ********
vpdn username max password ********
vpdn enable outside
dhcpd auto_config outside
username edwin password BgUNf/BGy6OdzOea encrypted privilege 15
terminal width 80
Cryptochecksum:c8ebe4ded45314a7ddcc649c1aec7301

vrijdag 25 april 2008 15:57

Acties:
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 23:55

Jazzy

Moderator SSC/PB

Moooooh!

Geen stom ander probleem toevallig? McAfee op een server, provider die poort 25 blokt?

Exchange en Office 365 specialist. Mijn blog.

vrijdag 25 april 2008 16:00

Acties:
  • Mexxwelll
  • Registratie: Juli 2005
  • Laatst online: 02-02 12:43

Mexxwelll

Topicstarter
hmmm...

Virusscanner staat op moment van testen uit, dus dat kan het niet zijn.

internet provider is 'Planet Internet'. Zal eens met de helpdesk bellen of de port geblockt word.

Thanks voor de tip!

EDIT*

Planet blokt die port inderdaad, is er een manier om dat te omzeilen?

[ Voor 16% gewijzigd door Mexxwelll op 25-04-2008 16:05 ]

vrijdag 25 april 2008 16:15

Acties:
  • mbaltus
  • Registratie: Augustus 2004
  • Laatst online: 05-02 10:21

mbaltus

Yep, hier zijn meerdere oplossingen voor (er van uitgaande dat je binnenkomende mail wilt opvangen). Planet zal poort 25 niet openzetten, maar er zijn een aantal work-arounds beschikbaar.

De makkelijkste manier is om je DNS aan te passen.

In het DNS de MX records als volgt richten:
code:
1
2
3

jouwdomein.nl MX 10 smtp.jouwdomein.nl 
jouwdomein.nl MX 20 mailrelay.planet.nl 
smtp.jouwdomeindomein.nl A w.x.y.z


(Hierbij is w.x.y.z je eigen externe IP adres)

De externe server zal nu proberen mail af te leveren op jouw mailserver. Dit gaat mis door de poortblokkering. De externe server levert het daarom bij de mailrelay af. De mailrelay kan wel via poort 25 bij jouw server en levert het alsnog af. Mijn ervaring is dat dit redelijk goed werkt.

Er zijn ook "providers" die mail afvangen op poort 25 en dan via een andere poort naar jouw mailserver doorsturen. Met een beetje googelen kom je er wel.

[ Voor 8% gewijzigd door mbaltus op 25-04-2008 16:16 ]

The trouble with doing something right the first time is that nobody appreciates how difficult it is

vrijdag 25 april 2008 23:44

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Zet ook vooral die fixup dingen uit, die zijn (zeker voor smtp) redelijk brak.

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 26 april 2008 00:04

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

En dan nog even een algemene tip:

Post geen user/password combi's in je configs - slechte gewoonte die je een keer zuur gaat opbreken.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 26 april 2008 16:48

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 04-02 20:31

Kabouterplop01

chown -R me base:all

en relay je uitgaande mail via die zelfde mailrelay van planet, instellen als smarthost

zondag 10 mei 2009 20:32

Acties:

Verwijderd

Het is wel een héle late reactie op dit topic, maar wellicht help ik er nog een hoop mensen mee.
Ik heb zelf ook in deze situatie gezeten omdat ik hier een Exchange server heb draaien.

Planet Internet (Inmiddels KPN) blokkeert standaard poort 25 als inkomende verbinding. Hierdoor kun je niet met je mailserver verbinden van buitenaf.

Ik heb het zelf opgelost door m'n notebook te laten syncen via rpc over http (via de ssl poort: 443)). Wat de server doet is van binnenuit verbinden met de mailserver of mail-relayserver en daar regelmatig controleert op nieuwe mail. De notebook synct vervolgens met de Exchange server.

woensdag 13 mei 2009 12:57

Acties:

Verwijderd

Nog een late reactie van mijn kant. Ik heb dit probleem in het verleden gehad met een ASA, is immers de opvolger van de pix. Zet packet inspection eens uit op SMTP. Onze vrienden van MS houden zich namelijk niet aan de SMTP standard, en packets worden derhalve gedropt!
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq