Provavelmente uma pergunta idiota, mas eu sou muito inexperiente em como configurar o nosso ASA 5510 - no entanto, usando a ferramenta ASDM parece mais fácil que o antigo IOS CLI.
O que eu quero fazer é impedir que todo o tráfego SMTP saia de nossa rede interna por meio do firewall, EXCETO de alguns servidores especificados (servidor de e-mail, servidores da web). Aqui está o que eu fiz:
1) Criado um grupo de rede com os endereços IP internos dos servidores que devem enviar e-mail (WEB_EMAIL)
Agora, aqui está o que eu acho que preciso fazer.
2) Configure uma regra de acesso interna da seguinte maneira: Fonte: WEB_EMAIL Destino: qualquer Serviço: tcp: smtp Ação: permitir
3) Configure uma regra de acesso interno logo abaixo daquela última, como segue: Fonte: qualquer Destino: qualquer Serviço: tcp: smtp Ação: negar
Eu entendi corretamente? Ou o destino em ambas as regras deve ser o endereço IP externo? Existem efeitos colaterais desagradáveis que eu deveria estar ciente?
Obrigado
Você acertou; o destino no tráfego SMTP será o servidor para o qual ele está tentando enviar, que pode estar em qualquer lugar.
Construir a regra na interface interna foi a coisa correta a ser feita, pois ela está controlando o tráfego que entra na interface interna da sua rede interna.
Deve ser bom para ir!
Tags cisco-asa