Giúp đỡ về cấu hình ASA 5510

[namdm]

Sơ đồ mạng của mình ở tệp đính kèm

Hiện tại Internet từ trong Inside ra ngoài thì OK. Các máy từ DMZ không ra được internet. Email cũng không vào được Relay SMTP ở vùng DMZ. SMTP ở DZM như là một proxy SMTP. Khi email qua trình lọc mail ở máy này sẽ được chuyển vào máy exchange server ở trong vùng Inside.

Dưới đây là file cấu hình. Rất mong mọi người giúp đỡ chỉ ra chỗ sai cho mình. Xin cảm ơn trước.

ASA Version 8.0(4)
!
hostname APBHNASA
domain-name hbl.com.vn
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd PLBb27eKLE1o9FTB encrypted
names
!
interface Ethernet0/0
nameif Outside
security-level 0
ip address 123.30.43.99 255.255.255.240
!
interface Ethernet0/1
nameif Inside
security-level 100
ip address 10.2.2.254 255.255.255.0
!
interface Ethernet0/2
nameif DMZ
security-level 50
ip address 192.168.30.254 255.255.255.0
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
ftp mode passive
dns server-group DefaultDNS
domain-name hbl.com.vn
object-group service NetBasic tcp
description Access Internet
port-object eq 5050
port-object eq 5051
port-object eq www
port-object eq https
port-object eq smtp
port-object eq domain
access-list In_access_Out extended permit udp 10.2.2.0 255.255.255.0 any eq d
omain
access-list In_access_Out extended permit udp 10.2.2.0 255.255.255.0 any eq s
nmp
access-list In_access_Out extended permit tcp 10.2.2.0 255.255.255.0 any obje
ct-group NetBasic
access-list In_access_Out extended permit icmp any any echo-reply
access-list In_access_Out extended permit icmp any any echo
access-list DMZ_Int extended permit icmp any any echo
access-list DMZ_Int extended permit icmp any any echo-reply
access-list Outside_Int extended permit icmp any any echo
access-list Outside_Int extended permit icmp any any echo-reply
access-list Outside_Int extended permit tcp 123.30.43.0 255.255.255.0 host 203.
162.92.98 object-group NetBasic
access-list Outside_Int extended permit udp 123.30.43.0 255.255.255.0 host 203.
162.92.98 eq snmp
access-list Outside_Int extended permit udp 123.30.43.0 255.255.255.0 host 203.
162.92.98 eq domain
pager lines 24
logging enable
logging timestamp
logging buffer-size 500000
logging buffered informational
logging asdm informational
mtu Outside 1500
mtu Inside 1500
mtu DMZ 1500
mtu management 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-613.bin
no asdm history enable
arp timeout 14400
nat-control
global (Outside) 1 interface
nat (Inside) 1 10.2.2.16 255.255.255.252
nat (Inside) 1 10.2.2.240 255.255.255.240
static (Inside,DMZ) 192.168.30.0 10.2.2.0 netmask 255.255.255.0
static (DMZ,Outside) 123.30.43.98 192.168.30.3 netmask 255.255.255.255
access-group Outside_Int in interface Outside
access-group In_access_Out in interface Inside
access-group DMZ_Int in interface DMZ
route Outside 0.0.0.0 0.0.0.0 123.30.43.97 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet 10.2.2.0 255.255.255.0 Inside
telnet 192.168.30.0 255.255.255.0 DMZ
telnet timeout 10
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:8672cd832465b5bb2e6321cdfa00ddc2
: end

[thanhnam0707]

Mô hình bạn xài Mail Exchange front end và back end phải ko,cái server ngoài dmz làm gateway hả?

[namdm]

Đúng rồi, server ngoài DMZ chỉ là Gateway thôi. Đồng thời trên server này cài phần mềm lọc SPAM or Virus emails.

[thanhnam0707]

bạn nat :
từ outside vào dmz mail là port smtp,
từ outside vào inside mail là https,pop3,http,995,

sau đó test từ outside:
telnet ten_server_mail 25
vd:
telnet mail.tuoitremcom.vn 25 lúc đó server mail dmz sẽ trả lời
telnet mail.tuoitremcom.vn 110 lúc đó server mail inside sẽ trả lời

lúc đó nat mới thành công,

Thanks,

[namdm]

Cảm ơn bạn nhiều. Công ty mình không cho phép dùng POP3. Hiên tại mình đã route từ địa chỉ public vào DMZ server. Các cổng mình cho phép là smtp, dns, snmp, http và https vì các cổng này phải mở cho phần mềm lọc mail hoạt động. Không biết mình route như vậy có gì sai không? Mình không hiểu nhiều lắm về ASA. Trước đây công ty mình dùng firewall WatchGuard nên mình cứ cấu hình dựa trên nó, đọc tài liệu đi kèm và tham khảo thêm trên forum này thôi.

[thanhnam0707]

con WatchGuard màu đỏ phải ko,con này nhiều cổng Wan hơn ASA,hi,nếu bạn có nhiều ip tỉnh thì cứ xài,chứ ip tỉnh xài đấu nối là tiếc lắm,

Bạn cứ làm đi,đến đâu thì post lên mọi người xem,

Thanks,

[Tristan1]

Em có mô hình

PC-----Router1--->Router2

Khi cấu hình không ping được tời IP đấu nối của router2 mặc dù đã route trên PC và router

Còn lỗi gì không các pác
thanks all