<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR740 設定例集 2.6 #107
アプリケーションゲートウェイ(SMTPプロキシー)
メールサーバー間の通信を仲介することで、不正なメールリレーやspamメールを防止することのできるSMTPプロキシーの設定例です。専用線によるインターネット接続環境を例としています。なお、本機能を使用するためには別途ライセンスが必要です。
Note
- 本機能はファイアウォールのオプション機能ですので、ご使用にはフィーチャー(追加機能)ライセンスが必要です。
ISPからは下記の情報を提供されています。
表 1:ISPから提供された情報
| WAN側インターフェース |
Unnumbered |
| 使用できるIPアドレス |
4.4.4.0/29(4.4.4.0〜4.4.4.7) |
ルーターには、次のような方針で設定を行います。
- LAN側をグローバルサブネット(4.4.4.0/29)とプライベートサブネット(192.168.10.0/24)に分割し、サーバー系はグローバルサブネットに、クライアント系はプライベートサブネットに配置します。
- ファイアウォールを利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にインターネットへのアクセスができるようにします。
- サーバーにはグローバルアドレスを割り当てますが、外部からのアクセスは下記の公開サービスだけに限定します。ただし、SMTPサーバーは、直接公開せずにルーターのSMTPプロキシーを介して間接的に公開します。
- SMTPサーバー:4.4.4.2
- DNSサーバー:4.4.4.3
- ファイアウォールのSMTPプロキシー機能を有効にし、外部から内部のSMTPサーバー(4.4.4.2)へのアクセスを本製品に仲介させます。メールリレーの要求はプロキシーで遮断します。また、spamリストを用意して、下記のドメイン、メールアドレスからのメールをプロキシーで遮断するよう設定します。
- spammers.com
- gomi@mail.net
- ad@get.dollers.com
- 上記プロキシーを有効にするため、DNSサーバーには本製品(4.4.4.1)をメールエクスチェンジャー(MX)として登録しておきます。外部のSMTPサーバーには、本製品自身がメールサーバーであるかのように見えます。
- クライアントにはプライベートアドレスを割り当てます。これらのクライアントがインターネットにアクセスできるよう、ダイナミックENATを使用します。ENAT用グローバルアドレスには、グローバルサブネット側のインターフェースアドレス(4.4.4.1)を共用します。
ルーターの基本設定を次にまとめます。
表 2:ルーターの基本設定
| TDMグループ名 |
ISP |
| 回線速度 |
128Kbps |
| WAN側物理インターフェース |
bri0 |
| WAN側(ppp0)IPアドレス |
Unnumbered |
| グローバルLAN側(eth0-0)IPアドレス |
4.4.4.1/29 |
| プライベートLAN側(eth0-1)IPアドレス |
192.168.10.1/24 |
メール関連の設定情報は次のとおりです。
表 3:メール関連の設定情報
| 内部メールサーバー |
4.4.4.2 |
| 管轄ドメイン |
deilla.co.jp |
| 同ドメインのMX |
4.4.4.1(ルーター) |
- BRIインターフェース「0」の全スロット(1〜2)を常時起動のTDM(専用線)モードに設定します。
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
- bri0のスロット1〜2(128Kbps)に対し、TDMグループ「ISP」を作成します。
CREATE TDM GROUP=ISP INT=bri0 SLOTS=1-2 ↓
- PPPインターフェース「0」をTDMグループ「ISP」上に作成します。LQRはオフにします。
CREATE PPP=0 OVER=TDM-ISP LQR=OFF ↓
- IPモジュールを有効にします。
- eth0-0には、ISPから割り当てられたグローバルアドレスの先頭アドレス(4.4.4.1)を設定します。アドレスを8個や16個といった単位で割り当てられる場合は、ネットマスクが変則的になるので注意してください。
ADD IP INT=eth0-0 IP=4.4.4.1 MASK=255.255.255.248 ↓
- eth0-1にはプライベートIPアドレスを割り当て、クライアント用のサブネットとします。
ADD IP INT=eth0-1 IP=192.168.10.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースをUnnumbered(0.0.0.0)に設定します。
ADD IP INT=ppp0 IP=0.0.0.0 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
CREATE FIREWALL POLICY=net ↓
- ファイアウォールで拒否したパケットをログに記録するよう設定します。
ENABLE FIREWALL POLICY=net LOG=DENY ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側インターフェース(eth0-0、eth0-1)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=eth0-0 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=eth0-1 TYPE=PRIVATE ↓
- WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- ダイナミックENATの設定を行います。クライアントLAN(eth0-1)側のプライベートIPアドレスを、サーバーLAN(eth0-0)側インターフェースに設定したグローバルIPアドレス4.4.4.1に変換するよう設定します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0-1 GBLINT=ppp0 GBLIP=4.4.4.1 ↓
- 外部からDNSサーバーへのアクセスを許可するルールを追加します。
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROTO=UDP IP=4.4.4.3 PORT=53 ↓
- SMTPプロキシーの設定を行います。最初に、内部メールサーバーが管轄するドメイン名を設定します。SMTPプロキシーは指定したドメイン宛でないメールは拒否します(メールリレー防止)。
SET FIREWALL POLICY=net SMTPDOMAIN=deilla.co.jp ↓
- SMTPプロキシーを有効にします。INTには内部サーバーのあるインターフェース、GBLINTには外部のインターフェースを指定します。また、IPには内部メールサーバーのアドレスを、DIRECTIONにはプロキシーを有効にする方向を指定します。通常はINを指定してください。
ADD FIREWALL POLICY=net PROXY=SMTP INT=eth0-0 GBLINT=ppp0 IP=4.4.4.2 DIRECTION=IN ↓
- spamメール防止機能を有効にします。あらかじめ用意しておいたspamリストを指定してください。spamリストファイルは、メールの受け取りを拒否するドメイン名またはメールアドレスを1行に1個ずつ記述したテキストファイルです(拡張子は.spa)。EDITコマンドなどで作成してください。ここでは、list.spaというファイルがあるとします。
ADD FIREWALL POLICY=net SPAMSOURCES=list.spa ↓
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
spamリストファイルlist.spa
spammers.com
gomi@mail.net
ad@get.dollers.com
|
■ spamリストの内容を変更するときは、DELETE FIREWALL POLICY SPAMSOURCESコマンドでリストファイルをいったん削除してから編集し、編集が終わったら再度追加してください。単にファイルを編集するだけでは、SMTPプロキシーの動作には反映されません。
あるいは、spamリストを編集したあとでルーターを再起動してもかまいません(ただし、回線接続中にいきなり再起動すると再接続に支障をきたす場合がありますのでご注意ください。たとえば、PPPoEでISPに接続している場合は、DISABLE PPPコマンドを実行して接続を切ってから再起動してください)。
■ ISPからログイン名とパスワードを指定されている場合は、手順3の次に以下のコマンドを追加してください。ここでは、ログイン名として「ispuser」、パスワードとして「isppasswd」を設定しています。
SET PPP=0 USER=ispuser PASSWORD=isppasswd ↓
■ ISPがUnnumberedを使用しておらず、WAN側インターフェース(ppp0)にもIPアドレスを割り当ててきた場合は、手順7でppp0に該当するIPアドレスを設定します。
たとえば、ISPから12.34.56.78/30というアドレスを割り当てられた場合は、手順6の代わりに次のように設定します。
ADD IP INT=ppp0 IP=12.34.56.78 MASK=255.255.255.252 ↓
■ 現在の設定内容を表示するには、次のコマンドを使います。
ルーターのコンフィグ
[テキスト版]
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
CREATE TDM GROUP=ISP INT=bri0 SLOTS=1-2 ↓
CREATE PPP=0 OVER=TDM-ISP LQR=OFF ↓
ENABLE IP ↓
ADD IP INT=eth0-0 IP=4.4.4.1 MASK=255.255.255.248 ↓
ADD IP INT=eth0-1 IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net LOG=DENY ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=eth0-0 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=eth0-1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0-1 GBLINT=ppp0 GBLIP=4.4.4.1 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROTO=UDP IP=4.4.4.3 PORT=53 ↓
SET FIREWALL POLICY=net SMTPDOMAIN=deilla.co.jp ↓
ADD FIREWALL POLICY=net PROXY=SMTP INT=eth0-0 GBLINT=ppp0 IP=4.4.4.2 DIRECTION=IN ↓
ADD FIREWALL POLICY=net SPAMSOURCES=list.spa ↓
|
CentreCOM AR740 設定例集 2.6 #107
(C) 1997 - 2008 アライドテレシスホールディングス株式会社
PN: 613-000216 Rev.C
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))