ASA 8.3 e posterior: Exemplo de acesso ao servidor de e-mail (SMTP) na configuração DMZ

Opções de download

  • PDF     (184.3 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (99.8 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (111.4 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:25 de outubro de 2011
ID do documento:113288

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Esta configuração de exemplo demonstra como configurar o ASA Security Appliance para acesso a um servidor SMTP (Simple Mail Transfer Protocol) localizado na rede DMZ (Demilitarized Zone, zona desmilitarizada).

Consulte o ASA 8.3 e posterior: Exemplo de Acesso ao Servidor de Email (SMTP) na Configuração de Rede Interna para obter mais informações sobre como configurar o ASA Security Appliance para acesso a um servidor de email/SMTP localizado na rede Interna.

Consulte o ASA 8.3 e posterior: Exemplo de Acesso ao Servidor de Email (SMTP) em Rede Externa para obter mais informações sobre como configurar o ASA Security Appliance para acesso a um servidor de email/SMTP localizado na Rede Externa.

Consulte o PIX/ASA 7.x ou superior: Exemplo de Acesso ao Servidor de Email (SMTP) na Configuração de DMZ para configuração idêntica no Cisco Adaptive Security Appliance (ASA) com versões 8.2 e anteriores.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco Adaptive Security Appliance (ASA) que executa a versão 8.3 e posterior.

  • Roteador Cisco 1841 com Cisco IOS® Software Release 12.4(20)T

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

asa-8_3-mailserver-config-01.gif

Observação: os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São endereços RFC 1918 leavingcisco.com que foram usados em um ambiente de laboratório.

A configuração de rede usada neste exemplo tem o ASA com rede interna (10.1.1.0/24) e a rede externa (192.168.200.0/27). O servidor de e-mail com endereço IP 172.16.31.10 está localizado na rede DMZ (Demilitarized Zone, zona desmilitarizada). Para que o Mailserver seja acessado por dentro, os usuários configuram a identidade NAT. Configure uma lista de acesso, que é dmz_int neste exemplo, para permitir as conexões SMTP de saída do Mailserver para os hosts na rede interna e vinculá-la à interface DMZ.

Da mesma forma, para que os usuários externos acessem o Mailserver, configure um NAT estático e também uma lista de acesso, que é outside_int neste exemplo, para permitir que usuários externos acessem o Mailserver e vinculem essa lista de acesso à interface externa.

Configuração do ASA

Este documento utiliza esta configuração:

Configuração do ASA 
ASA#show run
: Saved
:
ASA Version 8.3(1)
!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 shutdown
 no nameif
 security-level 0
 no ip address
!
interface Ethernet1
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet2
 no nameif
 no security-level
 no ip address
!

!--- Configure the inside interface.

interface Ethernet3
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0 
!

!--- Configure the outside interface.

interface Ethernet4
 nameif outside
 security-level 0
 ip address  192.168.200.225 255.255.255.224 
!

!--- Configure dmz interface.

interface Ethernet5
 nameif dmz
 security-level 10
 ip address 172.16.31.1 255.255.255.0 
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa831-k8.bin
ftp mode passive


!--- This access list allows hosts to access !--- IP address 192.168.200.227 for the SMTP port.

 
access-list outside_int extended permit tcp any host  192.168.200.227 eq smtp 

 !--- Allows outgoing SMTP connections. !--- This access list allows host IP 172.16.31.10 !--- sourcing the SMTP port to access any host.


access-list dmz_int extended permit tcp host 172.16.31.10 eq smtp any

pager lines 24
mtu BB 1500
mtu inside 1500
mtu outside 1500
mtu dmz 1500  
no failover
no asdm history enable
arp timeout 14400


  object network obj-192.168.200.228-192.168.200.253
   range 192.168.200.228-192.168.200.253
 object network obj-192.168.200.254
   host 192.168.200.254

 object-group network nat-pat-group
   network-object object obj-192.168.200.228-192.168.200.253
   network-object object obj-192.168.200.254
   
 object network obj-10.1.1.0
   subnet 10.1.1.0 255.255.255.0
   nat (inside,outside) dynamic nat-pat-group


!--- This network static does not use address translation. !--- Inside hosts appear on the DMZ with their own addresses.


object network obj-10.1.1.0
   subnet 10.1.1.0 255.255.255.0
   nat (inside,dmz) static obj-10.1.1.0


!--- This network static uses address translation. !--- Hosts that access the mail server from the outside !--- use the 192.168.200.227 address.


object network obj-172.16.31.10
   host 172.16.31.10
   nat (dmz,outside) static 192.168.200.227 
access-group outside_int in interface outside
access-group dmz_int in interface dmz
route outside 0.0.0.0 0.0.0.0  192.168.200.226 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!

!--- The inspect esmtp command (included in the map) allows !--- SMTP/ESMTP to inspect the application.


policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!

!--- The  inspect esmtp  command (included in the map) allows !--- SMTP/ESMTP to inspect the application.

service-policy global_policy global
Cryptochecksum:2653ce2c9446fb244b410c2161a63eda
: end
[OK]

Configuração de TLS ESMTP

Observação: se você usar a criptografia TLS (Transport Layer Security) para comunicação por e-mail, o recurso de inspeção ESMTP (ativado por padrão) no ASA descarta os pacotes. Para permitir os e-mails com TLS ativado, desative o recurso de inspeção ESMTP como mostrado nesta saída. Consulte o bug da Cisco ID CSCtn08326 (somente clientes registrados) para obter mais informações. 

ciscoasa(config)#
policy-map global_policy

ciscoasa(config-pmap)#class inspection_default
ciscoasa(config-pmap-c)#no inspect esmtp
ciscoasa(config-pmap-c)#exit
ciscoasa(config-pmap)#exit

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshoot

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Comandos para Troubleshooting

A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • debug icmp trace —Mostra se as solicitações do Internet Control Message Protocol (ICMP) dos hosts acessam o ASA. Você precisa adicionar o comando access-list para permitir o ICMP em sua configuração para executar essa depuração.

    Observação: para usar esta depuração, certifique-se de permitir o ICMP na lista de acesso outside_int conforme mostrado na saída: 

    access-list outside_int extended permit tcp any host  192.168.200.227 eq smtp 
access-list outside_int extended permit icmp any any

  • logging buffered 7 —Usado no modo de configuração global para permitir que o aplicativo de segurança adaptável envie mensagens de syslog ao buffer de log. O conteúdo do buffer de log do ASA pode ser visto com o comando show logging.

Consulte Configurar Syslog usando o ASDM para obter mais informações sobre como configurar o registro.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
25-Oct-2011
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos