<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR570S 設定例集 2.9 #107
アプリケーションゲートウェイ(SMTPプロキシー)
メールサーバー間の通信を仲介することで、不正なメールリレーやspamメールを防止することのできるSMTPプロキシーの設定例です。PPPoEによるインターネット接続環境を例としています。
Note
- 本機能はファイアウォールのオプション機能ですので、ご使用にはフィーチャー(追加機能)ライセンスが必要です。
ISPからは下記の情報を提供されています。
表 1:ISPから提供された情報
| PPPユーザー名 |
user@isp |
| PPPパスワード |
isppasswd |
| PPPoEサービス名 |
指定なし |
| WAN側インターフェース |
Unnumbered |
| 使用できるIPアドレス |
4.4.4.0/29(4.4.4.0〜4.4.4.7) |
ルーターには、次のような方針で設定を行います。
- LAN側をグローバルサブネット(4.4.4.0/29)とプライベートサブネット(192.168.10.0/24)に分割し、サーバー系はグローバルサブネットに、クライアント系はプライベートサブネットに配置します。
- ファイアウォールを利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にインターネットへのアクセスができるようにします。
- サーバーにはグローバルアドレスを割り当てますが、外部からのアクセスは下記の公開サービスだけに限定します。ただし、SMTPサーバーは、直接公開せずにルーターのSMTPプロキシーを介して間接的に公開します。
- SMTPサーバー:4.4.4.2
- DNSサーバー:4.4.4.3
- ファイアウォールのSMTPプロキシー機能を有効にし、外部から内部のSMTPサーバー(4.4.4.2)へのアクセスを本製品に仲介させます。メールリレーの要求はプロキシーで遮断します。また、spamリストを用意して、下記のドメイン、メールアドレスからのメールをプロキシーで遮断するよう設定します。
- mymhrm.spammers.co.jp
- gomi@mail.net
- info@get.rich.click.jp.com
- 上記プロキシーを有効にするため、DNSサーバーには本製品(4.4.4.1)をメールエクスチェンジャー(MX)として登録しておきます。外部のSMTPサーバーには、本製品自身がメールサーバーであるかのように見えます。
- クライアントにはプライベートアドレスを割り当てます。これらのクライアントがインターネットにアクセスできるよう、ダイナミックENATを使用します。ENAT用グローバルアドレスには、グローバルサブネット側のインターフェースアドレス(4.4.4.1)を共用します。
ルーターの基本設定を次にまとめます。
表 2:ルーターの基本設定
| WAN側物理インターフェース |
eth0 |
| WAN側(ppp0)IPアドレス |
Unnumbered |
| グローバルLAN側(eth1)IPアドレス |
4.4.4.1/29 |
| プライベートLAN側(vlan1)IPアドレス |
192.168.10.1/24 |
メール関連の設定情報は次のとおりです。
表 3:メール関連の設定情報
| 内部メールサーバー |
4.4.4.2 |
| 管轄ドメイン |
deilla.co.jp |
| 同ドメインのMX |
4.4.4.1(ルーター) |
- WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- ISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=user@isp PASSWORD=isppasswd LQR=OFF ECHO=ON ↓
- IPモジュールを有効にします。
- IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。
- eth1には、ISPから割り当てられたグローバルアドレスの先頭アドレス(4.4.4.1)を設定します。アドレスを8個や16個といった単位で割り当てられる場合は、ネットマスクが変則的になるので注意してください。
ADD IP INT=eth1 IP=4.4.4.1 MASK=255.255.255.248 ↓
- vlan1にはプライベートIPアドレスを割り当て、クライアント用のサブネットとします。
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースをUnnumbered(0.0.0.0)に設定します。
ADD IP INT=ppp0 IP=0.0.0.0 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
CREATE FIREWALL POLICY=net ↓
- ファイアウォールで拒否したパケットをログに記録するよう設定します。
ENABLE FIREWALL POLICY=net LOG=DENY ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側インターフェース(eth1、vlan1)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=eth1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
- WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- ダイナミックENATの設定を行います。クライアントLAN(vlan1)側のプライベートIPアドレスを、サーバーLAN(eth1)側インターフェースに設定したグローバルIPアドレス4.4.4.1に変換するよう設定します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 GBLIP=4.4.4.1 ↓
- 外部からDNSサーバーへのアクセスを許可するルールを追加します。
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROTO=UDP IP=4.4.4.3 PORT=53 ↓
- SMTPプロキシーの設定を行います。最初に、内部メールサーバーが管轄するドメイン名を設定します。SMTPプロキシーは指定したドメイン宛でないメールは拒否します(メールリレー防止)。
SET FIREWALL POLICY=net SMTPDOMAIN=deilla.co.jp ↓
- SMTPプロキシーを有効にします。INTには内部サーバーのあるインターフェース、GBLINTには外部のインターフェースを指定します。また、IPには内部メールサーバーのアドレスを、DIRECTIONにはプロキシーを有効にする方向を指定します。通常はINを指定してください。
ADD FIREWALL POLICY=net PROXY=SMTP INT=eth1 GBLINT=ppp0 IP=4.4.4.2 DIRECTION=IN ↓
- spamメール防止機能を有効にします。あとで作成するspamリストファイルのファイル名(ここでは list.spa)を指定してください。spamリストファイルは、メールの受け取りを拒否するドメイン名またはメールアドレスを記述したファイルです。(作成方法は、後述の「spamリスト(.spa)の作成方法」欄を参照してください。)
ADD FIREWALL POLICY=net SPAMSOURCES=list.spa ↓
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
spamリストファイルは、メールの受け取りを拒否するドメイン名またはメールアドレスを1行に1個ずつ記述したテキストファイルです。EDITコマンドなどで作成し、拡張子を.spaとして保存してください。
list.spaの内容
mymhrm.spammers.co.jp
gomi@mail.net
info@get.rich.click.jp.com
|
■ spamリストの内容を変更するときは、DELETE FIREWALL POLICY SPAMSOURCESコマンドでリストファイルをいったん削除してから編集し、編集が終わったら再度追加してください。単にファイルを編集するだけでは、SMTPプロキシーの動作には反映されません。
あるいは、spamリストを編集したあとでルーターを再起動してもかまいません(ただし、回線接続中にいきなり再起動すると再接続に支障をきたす場合がありますのでご注意ください。たとえば、PPPoEでISPに接続している場合は、DISABLE PPPコマンドを実行して接続を切ってから再起動してください)。
■ 現在の設定内容を表示するには、次のコマンドを使います。
ルーターのコンフィグ
[テキスト版]
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=user@isp PASSWORD=isppasswd LQR=OFF ECHO=ON ↓
ENABLE IP ↓
ENABLE IP REMOTEASSIGN ↓
ADD IP INT=eth1 IP=4.4.4.1 MASK=255.255.255.248 ↓
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net LOG=DENY ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=eth1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 GBLIP=4.4.4.1 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROTO=UDP IP=4.4.4.3 PORT=53 ↓
SET FIREWALL POLICY=net SMTPDOMAIN=deilla.co.jp ↓
ADD FIREWALL POLICY=net PROXY=SMTP INT=eth1 GBLINT=ppp0 IP=4.4.4.2 DIRECTION=IN ↓
ADD FIREWALL POLICY=net SPAMSOURCES=list.spa ↓
|
CentreCOM AR570S 設定例集 2.9 #107
(C) 2006-2013 アライドテレシスホールディングス株式会社
PN: 613-000274 Rev.N
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))