- - PR -
RedHatLinux9サーバのメールサーバを、DMZにつなげたサーバのメールサーバを使うように変更したい
| 投稿者 | 投稿内容 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-06-29 16:26
>1. ドメインは aaa.co.jp と ccc.co.jp の 2つを運用するのでしょうか?
そうです。 >2. 「ppp0 が WAN 、eth2 が LAN 、eth1 がDMZ」 と言っているホストは、NIC が 3枚挿しなのでしょうか? そうです。元サーバと私が言っているものにNICが3枚、挿さっています。 >3. ネットワーク構成がよく見えません…。 ルータとかハブは挟んでいないのでしょうか? 元サーバがサーバー兼ルータ兼ファイアーウォール(iptablesで設定)です。 ネットワーク構成は下記の通りです。 <現在の環境> -------------------------------------------------- internet | | [ppp0] Bフレッツのunnumberd接続 ***** DMZ ***** ns.ccc.co.jp(NAT & filter) www.ccc.co.jp [eth1] ─── www.aaa.co.jp ftp.ccc.co.jp mail.ccc.co.jp mail.aaa.co.jp [eth2] | | ***** LAN ***** <今後の環境> -------------------------------------------------- internet | | [ppp0] Bフレッツのunnumberd接続 ***** DMZ ***** ns.ccc.co.jp(NAT & filter) www.ccc.co.jp [eth1] ─── www.aaa.co.jp ftp.ccc.co.jp mail.aaa.co.jp mail.ccc.co.jp [eth2] | | ***** LAN ***** [ メッセージ編集済み 編集者: coolkun 編集日時 2004-06-29 16:34 ] | ||||||||||||
|
投稿日時: 2004-06-29 17:13
>は,“ns.ccc.co.jpサーバに接続できませんでした。”の間違いですよね?
ちょっと気になったので念のため. そうです。間違いです。(^^; 直しました。 | ||||||||||||
|
投稿日時: 2004-06-29 19:28
了解しました。 aaa.co.jp と ccc.co.jp は元から運用されていて、メールサービスだけ移動させたい(www と同居させたい)、ということですよね。 ping www.aaa.co.jp が OK で ping mail.aaa.co.jp が NG であれば、DNS の設定が間違っているのだと思います。 # ちょっと見た BIND の設定だと、大丈夫かな?と心配になるのですが… そこがクリアされても OE から接続できないのであれば、iptables の設定が間違っているか、sendmail の設定が間違っているのでしょう。 # メールボックスはどのサーバにあるのかしら? LAN 内なのかな。 # (pop 用の iptables の設定がないなぁと…) 上記 ping が通るかと、BIND の起動時のログ等でエラーが吐かれていないか(「起動できたよ〜」 なログだけか)を確認してみましょう。 | ||||||||||||
|
投稿日時: 2004-06-30 13:49
ユーザPCからMS-DOSプロンプトでpingをしたところ、
>ping www.aaa.co.jp が OK で >ping mail.aaa.co.jp が NG であれば、DNS の設定が間違っているのだと思います。 ユーザPCからMS-DOSプロンプトでpingをしたところ、 ping www.aaa.co.jp 、ping mail.aaa.co.jp どちらもOKでした。 ># メールボックスはどのサーバにあるのかしら? LAN 内なのかな。 DMZのメールボックスは、もちろんDMZ側についているPCの中です。 /var/spool/mail の中に届くはずなんですが。。 ># (pop 用の iptables の設定がないなぁと…) 外から接続する訳ではないので、110番は空けなくて良いかと思うのですが。 iptables -A FORWARD -i ppp0 -o eth1 -p tcp -d 203.179.91.211/32 --dport 25 -j ACCEPT iptables -A FORWARD -i eth1 -o ppp0 -p tcp -s 203.179.91.211/32 --dport 25 -j ACCEPT >sendmail の設定が間違っているのでしょう。 aaa.co.jp と ccc.co.jp は元から運用されていて、メールサービスだけ移動させたい場合、特別にsendmail の設定変更ってありますか? | ||||||||||||
|
投稿日時: 2004-06-30 18:58
こんにちわ.
繰り返しになりますが,外部の接続を切って Netfilter を無効にして, その上で client -- e_mail server 間のやり取りが出来ることを確認することを強くお奨めします.
届いていないのですね? ちなみに outlook 系って送信/受信の順番を変えられましたっけ? 変えられないようなら,「送信だけ」「受信だけ」に分けて確認したらどーなります? 名前解決はできてるんですよね.
この点でちょっとした行き違いがあるように感じられます. 外から接続しなくても,内部-> DMZ の 110/tcp は接続できないとダメですよね. DMZ を形作っている firewall にあたる ccc は eth2 から eth1 へ pop3(110/tcp)を通さないと,内部の client は e_mail server から e_mail contents を取ってこれないので
となるのではないのでしょうか? で,さかい様のご指摘にある > telnet www.aaa.co.jp 110 と > telnet "aaa の ip address" 110 はどうでしょう? どちらも NG -> client は e_mail server へ pop3 で接続できないと判断できるとして,aaa 上で # netstat -an して 110/tcp が listen されていることを確認しましょう. あるいは aaa 上で # telnet localhost pop3 でも良いです.この場合は telnet が refuse せずに pop3 daemon が答えてくれたら「pop3 daemon は待ちうけ mode」と判断できます. ここまで問題なければ,external/DMZ/internal を割っている host 上の Netfilter の設定に問題があるのではないかと.つまり,client -- e_mail server 上の経路がふさがれていると判断できるかと. 以上,ややこしいかもしれませんがご参考までに. | ||||||||||||
|
投稿日時: 2004-06-30 19:29
初めまして。今までのやりとりを見ていて自分なりに気になったことを
羅列してみます。もし可能なら試してみてください。(外していたらお許しを) いろいろな方がレスされているように、ユーザPCからDMZのメールサーバに対して、 telnetを使い110番、25番ポートでつながるか、確認されるのが一番早いと思います。 (Tera Term Proなどがおすすめ) このときに、可能であればNATマシン、DMZメールサーバの各種ログを tail -f などで常にモニターしながら確認されるとよいかと思います。 ログファイルとしては、messages、syslog、maillogなど
ということは、DNSの可能性は低くなったと考えて良いのでしょうか? あとは、ユーザPC <-> NATマシン <-> DMZメールサーバにPOP、SMTP、identが 通るかどうか? NATがあるということなので、たとえばLAN側のIPアドレスが「例192.168.?.?」と した場合、DMZメールサーバ側で、inetdとかTCPラッパ、sendmailのセキュリティ 設定でユーザPCからのIPアドレスがブロックされているとか... (うまくログがとれれば、IP?.?.?.?を阻止した などの情報が得られるかも) ともかく、いろいろなツールを使ったりログを見たりして、どこまで情報が流れて いるか確認しながら調査するのが早道かと思います。 以上、失礼しました。 | ||||||||||||
|
投稿日時: 2004-06-30 20:22
coolkun さんが考えているように 「メールサーバを移動する」 のであれば、smtp(sendmail)と pop(imapd かな?)の両サービスを DMZ のホストで稼動させなければなりません。
OE の設定にある 「送信サーバ」 「受信サーバ」 は、それぞれ mail.aaa.co.jp 上の 「sendmail に繋ぎに行く」 「imapd に繋ぎに行く」 という意味になります。 そのため、メールがクライアントから送信できることと、メールをクライアントで受信できることは、分けて考えないとダメです。 # クライアントからのテストも 「送信だけ」 「受信だけ」 でまずは確認しましょう > 外から接続する訳ではないので、110番は空けなくて良いかと思うのですが。 はい、外部用には空けなくても OK です。 2004-06-28 16:16 の投稿をよく見てみたら、 > iptables -P FORWARD DROP > iptables -A FORWARD -p icmp -j ACCEPT > iptables -A FORWARD -i eth2 -j ACCEPT > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT となっていましたね…。 www.aaa.co.jp がクライアントから表示できるようなので、eth2 からは何でもアリアリでうまく動いているのも確認できていると思います。 であれば、smtp や pop のサービスが動いていないような気がするのですが… # とくに、pop が… # ちなみに、「ping mail.aaa.co.jp」 は DMZ の IP アドレスで応答されているんですよね? | ||||||||||||
|
投稿日時: 2004-07-23 18:17
皆さん、返信が大変、遅くなりすみません。(^^;
皆さんからの質問をまとめて記述してみました。 宜しければ、引き続きアドバイスをお願い致します。m(_ _)m >「送信だけ」「受信だけ」に分けて確認したらどーなります? Outlook Expressを「送信だけ」にするとエラーはでませんでした。 「受信だけ」にすると前述のエラーがでます。 >ユーザPCからDMZのメールサーバに対して、telnetを使い110番、25番ポートでつながるか、確認されるのが一番早いと思います。 (Tera Term Proなどがおすすめ) puttyjp ではポート23番でも25番でも110番でもつながります。 >DMZメールサーバの各種ログを tail -f などで常にモニターしながら確認されるとよいかと思います。 ログファイルとしては、messages、syslog、maillog など tail -f でメーラーを起動させた時を監視してみましたが変化なしです。 ログファイル messages、syslog、maillog には何もでてきません。 >「ping mail.aaa.co.jp」 は DMZ の IP アドレスで応答されているんですよね? 応答しています。 >外部の接続を切って Netfilter を無効にして、その上で client -- e_mail server 間のやり取りが出来ることを確認することを強くお奨めします。 上記の方法をやってみました。 同じ結果で、puttyjp ではポート23番でも25番でも110番でもつながりますが、 Outlook Expressを「送信だけ」にするとエラーはでませんでした。 「受信だけ」にすると前述のエラーがでます。 | ||||||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。