SMTP og PIX 501

Jeg er ikke helt med - skal du have forbindelse fra en mailserver og UD.... eller har du en mailserver stående bag firewallen der skal kunne modtage mails på post 25??

Jeg har en mailserver bag firewallen der skal kunne sende/modtage mails på port 25.

Cisco har lavet en eksempel konfiguration:

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a0080094466.shtml

Her der en gennemgang af hvilke linier du skal have i konfigurationen.

Gennemgangen er godt nok skrevet til software version 5.1, men jeg tror ikke det gør det store! Princippet er ihvertfald det samme.

Det vil altså være noget i den her retning?

access-list inbound permit tcp any host xx.xx.xx.xx eq smtp
access-list inbound permit tcp any host xx.xx.xx.xx eq http
access-group inbound in interface outside

http adgangen er til OWA.

Ja, det ser vist meget rigtigt ud.

Er det et stort netværk du har liggende bagved pix'en? Det er jo altså en relativ stor sikkerhedsrisiko at åbne både port 25 og 80 indgående, når du ikke har en dmz zone.

Når du har ændret i konfigurationen, kan du teste det med Shields Up! Den ligger på adressen: https://www.grc.com/x/ne.dll?bh0bkyd2

PIX´en står foran en ISA server der beskytter netværket, så det skulle være rimelig sikkert.
PIX´en er altså 'kun' den yderste beskyttelse sådan at der er 2 forskellige firewalls inden det interne netværk.

Grc.com viser at alt er stealth men en manuel portscanning viser at port 25 og 80 er åbne, underligt.

Kan du telnette til din mailserver udefra? Det er altid en god måde at tjekke om der er hul igennem! telnet adresse 25

Ja, det kan jeg og der også kommer mails igennem :)
Takker for hjælpen.

No problemo -  glad for at kunne hjælpe!