The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco 891 and Exchange Server 2013"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Диагностика и решение проблем)
Изначальное сообщение [ Отслеживать ]

"Cisco 891 and Exchange Server 2013"  +/
Сообщение от userok (ok) on 31-Июл-13, 01:31 
Доброе время суток!
Нужна помощь в настройке железки.
Досталась от ушедшего админа, а я сам не конфигурил раньше.
Задача закрыть дыры если есть, оптимизировать конфиг если нужно и сделать доступным почтовый сервер.
Текущий конфиг:
Current configuration : 4878 bytes
!
! Last configuration change at 22:24:47 NN Tue Jul 30 2013 by xx
! NVRAM config last updated at 22:24:50 NN Tue Jul 30 2013 by xx
!
version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname CISCO891
!
boot-start-marker
boot-end-marker
!
!
!
aaa new-model
!
!
aaa authentication login default local
!
!
!
!
!
aaa session-id common
!
clock timezone NN 7 0
no ip source-route
!
!
!
ip dhcp excluded-address 192.168.10.1
!
!
ip cef
no ip bootp server
ip domain name XYZ.local
ip name-server xxx.xxx.xxx.xxx
ip name-server xxx.xxx.xxx.xxx
ip name-server 8.8.8.8
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp
ip inspect name INSPECT_OUT sip
ip inspect name INSPECT_OUT icmp router-traffic
no ipv6 cef
!
multilink bundle-name authenticated
crypto pki token default removal timeout 0
!
!
license udi pid CISCO891-K9 sn XXXXXXXXX
!
!
archive
log config
  logging enable
  hidekeys
username root privilege 15 secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
class-map match-any CCP-Transactional-1
match  dscp af21
match  dscp af22
match  dscp af23
class-map match-any CCP-Voice-1
match  dscp ef
class-map match-any CCP-Routing-1
match  dscp cs6
class-map match-any CCP-Signaling-1
match  dscp cs3
match  dscp af31
class-map match-any CCP-Management-1
match  dscp cs2
!
!
policy-map CCP-QoS-Policy-1
class CCP-Voice-1
  priority percent 20
  police cir 512000
   conform-action transmit
   exceed-action drop
class CCP-Signaling-1
  bandwidth percent 5
  police cir 64000
   conform-action transmit
   exceed-action drop
class CCP-Routing-1
  bandwidth percent 5
  police cir 64000
   conform-action transmit
   exceed-action drop
class CCP-Management-1
  bandwidth percent 5
  police cir 32000
   conform-action transmit
   exceed-action drop
class CCP-Transactional-1
  bandwidth percent 5
  police cir 32000
   conform-action transmit
   exceed-action drop
class class-default
  fair-queue
  random-detect
  police cir 1024000
   conform-action transmit
   exceed-action drop
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
description === INTERNET ===
ip address aaa.bbb.ccc.38 255.255.255.224
ip access-group FIREWALL in
no ip redirects
no ip proxy-arp
ip mtu 1492
ip flow ingress
ip nat outside
ip inspect INSPECT_OUT out
no ip virtual-reassembly in
ip verify unicast reverse-path
duplex auto
speed auto
no cdp enable
service-policy output CCP-QoS-Policy-1
!
interface GigabitEthernet0
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
description === LAN ===
ip address 192.168.10.1 255.255.255.0
ip accounting output-packets
ip mtu 1492
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1412
!
interface Async1
no ip address
encapsulation slip
shutdown
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
ip dns server
no ip nat service sip udp port 5060
ip nat inside source list NAT interface FastEthernet8 overload
ip nat inside source static udp 192.168.10.4 5060 interface FastEthernet8 5060
ip nat inside source static tcp 192.168.10.5 995 interface FastEthernet8 995
ip nat inside source static tcp 192.168.10.5 993 interface FastEthernet8 993
ip nat inside source static tcp 192.168.10.5 25 interface FastEthernet8 25
ip route 0.0.0.0 0.0.0.0 aaa.bbb.ccc.33
!
ip access-list extended FIREWALL
deny   ip host 0.0.0.0 any
deny   ip 10.0.0.0 0.255.255.255 any
deny   ip 172.16.0.0 0.15.255.255 any
deny   ip 192.168.0.0 0.0.255.255 any
deny   ip host 255.255.255.255 any
deny   ip 224.0.0.0 15.255.255.255 any
deny   ip any host 112.25.138.20
deny   ip host 112.25.138.20 any
deny   udp 112.25.0.0 0.0.255.255 host 192.168.10.4 eq 5060
deny   tcp 112.25.0.0 0.0.255.255 host 192.168.10.4
deny   ip 112.0.0.0 0.255.255.255 any
permit tcp any host aaa.bbb.ccc.38 eq www
permit tcp any host aaa.bbb.ccc.38 eq 443
permit udp any host aaa.bbb.ccc.38 eq 5060
permit tcp any host aaa.bbb.ccc.38 eq 993
permit tcp any host aaa.bbb.ccc.38 eq 995
permit tcp any host aaa.bbb.ccc.38 eq smtp
deny   ip any any
ip access-list extended NAT
permit ip 192.168.10.0 0.0.0.255 any
!
logging esm config
!
!
!
!
!
!
!
control-plane
!
!
line con 0
line 1
modem InOut
stopbits 1
speed 115200
flowcontrol hardware
line aux 0
line vty 0 4
privilege level 15
transport input telnet ssh
!
ntp update-calendar
ntp server 192.168.10.2 prefer source FastEthernet0
end

Где,
aaa.bbb.ccc.38 - внешний IP адрес маршрутизатора
192.168.10.4 - Asterisk (IP-АТС)
192.168.10.5 - MS Exchange Server 2013
192.168.10.2 - DC, DNS, DHCP, NTP Server внутренней сети
112.25.138.20 - IP с которого пытались когда-то подломить Asterisk
aaa.bbb.ccc.33 - шлюз провайдера

Для корректной работы Exchange нужны порты:
80
443
993
995
25
про 53 не знаю нужен или нет
Exchange Server подключен в общий коммутатор, в который и маршрутизатор (если нужна такая информация)

Из внутренней сетки Telnet заходит на 25 порт, из внешней нет (((
Почта не бегает.
В чём тут грабли?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco 891 and Exchange Server 2013"  +/
Сообщение от mavr77 email on 01-Авг-13, 12:20 
Вы в IT давно? Похоже сетвое администрирование не Ваш конек.
Сколько денег за работу готовы отдать :)

> Доброе время суток!
> Нужна помощь в настройке железки.
> Досталась от ушедшего админа, а я сам не конфигурил раньше.
> Задача закрыть дыры если есть, оптимизировать конфиг если нужно и сделать доступным
> почтовый сервер.

-----КУСЬ----
> Из внутренней сетки Telnet заходит на 25 порт, из внешней нет (((
> Почта не бегает.
> В чём тут грабли?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Cisco 891 and Exchange Server 2013"  –1 +/
Сообщение от Мммм on 01-Авг-13, 18:15 
-----КУСЬ----
>> Из внутренней сетки Telnet заходит на 25 порт, из внешней нет (((
>> Почта не бегает.
>> В чём тут грабли?

Грабли есть ;-)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Cisco 891 and Exchange Server 2013"  +/
Сообщение от Мммм on 01-Авг-13, 18:14 
> Из внутренней сетки Telnet заходит на 25 порт, из внешней нет (((
> Почта не бегает.
> В чём тут грабли?

На твоем месте я бы не "оптимизировал" конфиг.
У тебя изнутри внешние адреса доступны? Банальный пинг с рабочей станции на 8.8.8.8 тот же самый и прочее?
Кроме того проверяем астериск - он работает ---> ip nat inside source static udp 192.168.10.4 5060 interface FastEthernet8 5060
?

Можешь выставить на время тестирования какой нибудь хост, например на порту 3389 (RDP) даже не надо будет ничего устанавливать дополнительно.
Пишешь ip nat inside source static tcp IP 3389 interface FastEthernet8 3389

В acl добавляешь строчку

Для этого сначала
conf t
ip access-list ext   FIREWALL
permit tcp any host aaa.bbb.ccc.ddd eq 3389

(будет зависить от версии ИОС которая залита на маршрутизатор. Старые - добавляют в конец списка после deny ip any any)

Далее коннектишься на 3389 - смотришь.

(в принципе если хочешь - могу помочь)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Cisco 891 and Exchange Server 2013"  +/
Сообщение от userok (ok) on 01-Авг-13, 20:34 
Проблема с 25 портом решилась строчкой ip inspect name INSPECT_OUT smtp

Не работают по прежнему 993 и 995 порты.
Голый pop3 наружу нет желания выбрасывать...

Эхо от 8.8.8.8 есть.
Астериск работает штатно.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Cisco 891 and Exchange Server 2013"  +/
Сообщение от userok (ok) on 04-Авг-13, 19:10 
Может поможет:
CISCO891#sh ip nat translations
Pro Inside global         Inside local          Outside local         Outside global
udp aaa.bbb.ccc.38:52505  192.168.10.2:52505    uu.qqq.e.ggg:53       uu.qqq.e.ggg:53
udp aaa.bbb.ccc.38:53084  192.168.10.2:53084    uu.qqq.e.ggg:53       uu.qqq.e.ggg:53
udp aaa.bbb.ccc.38:5060   192.168.10.4:5060     ee.rr.t.34:5060       ee.rr.t.34:5060
udp aaa.bbb.ccc.38:5060   192.168.10.4:5060     zzz.xxx.sss.44:5060   zzz.xxx.sss.44:5060
udp aaa.bbb.ccc.38:5060   192.168.10.4:5060     ---                   ---
tcp aaa.bbb.ccc.38:25     192.168.10.5:25       ---                   ---
tcp aaa.bbb.ccc.38:80     192.168.10.5:80       ---                   ---
tcp aaa.bbb.ccc.38:110    192.168.10.5:110      ---                   ---
tcp aaa.bbb.ccc.38:443    192.168.10.5:443      ---                   ---
tcp aaa.bbb.ccc.38:993    192.168.10.5:993      ---                   ---
tcp aaa.bbb.ccc.38:995    192.168.10.5:995      ---                   ---
- more -
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру