- PR -

qmailで外部からのメールを受信できません。

«前のページへ 1|2|3
投稿者投稿内容
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2003-03-14 19:33
 なるほど。。それで図の[ルータ]219.x.x.15 を買ったときにデフォルトで 外からも中からも135,137-139,445 が入ってこない又は出ていかないようなフィルタの設定になっているのですね?ルータのLinuxBoxがあるのでルータのファイアーウォールは使うまいと思っておりましたが、これくらいは有効にしておいてもいいかもしてませんね。。デフォルトですし、

 度々納得の行くご説明をありがとうございました。またよろしくお願いいたします。
ふじい
大ベテラン
会議室デビュー日: 2002/05/07
投稿数: 123
お住まい・勤務地: 東京
投稿日時: 2003-03-14 19:52
こんにちは、ふじいです。

VPNつかってないんだったら、IP Spoofingを防ぐために
proc/sys/net/ipv4/conf/*/rp_filter = 1 に

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
のパケットは外に出さないようにするとよろしいかと。
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2003-03-17 08:21
 度々ご助言いただき、感謝しております。
[quate]
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
のパケットは外に出さないようにするとよろしいかと。
[/quate]
の制限は[ルータ]219.x.x.15 のデフォルトのフィルタ設定で、既に有効になっております。

[quate]
VPNつかってないんだったら、IP Spoofingを防ぐために
proc/sys/net/ipv4/conf/*/rp_filter = 1 に
[/quate]
こちらに関しては存じておりませんでした。。早速実行させていただきます。ありがとうございました。

McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2003-03-17 08:52
 さて、本題のqmailに関連することで気になることがあります。メールサーバーはご承知のとおり、

192.168.0.3[メールサーバ]Redhat8.0  qmail+tcpserver+checkpassword

の位置にあります。このサーバの /etc/resolve.conf には

nameserver 192.168.0.2
nameserver O□NのセカンダリDNSサーバーのIPアドレス

と記述しております。

 さらに192.168.0.2[DNSサーバ] のレコードにはメールサーバーに関しては
mxserver  IN  A  219.x.x.3
と記述しております。

 ところがこれですと、192.168.0.100[win2000クライアント]OutlookExpress
からメールサーバーにPOP3でメールを見に行くと、膨大な時間がかかります。ほとんどがタイムアウトです。

 そこで192.168.0.2[DNSサーバ] のレコードに
mxserver  IN  A  219.x.x.3
mxserver  IN  A  192.168.0.3
と書き加えると瞬時にpop3で接続しにいけます。

 どうもメールサーバーの各種設定ファイルのほとんどに
mxserver.mydomain.jp
と記述しているので、mxserver.mydomain.jpのアドレスを探しにいくとにまずDNSサーバーのレコードを参照しに行って、

mxserver  IN  A  219.x.x.3

を取得して219.x.x.3にアクセスしにいこうとして遅くなっている(もしくはアクセスできない)ように思います。

mxserver  IN  A  192.168.0.3

を書いておくとすぐにアクセスできますので。。

 ただ、インターネット上から引けるDNSサーバーに192.168.0.3などのローカルアドレスを載せたくないと思っております。何か良い方法はないものでしょうか、ご教授お願い申し上げます。
BASE
大ベテラン
会議室デビュー日: 2002/03/13
投稿数: 178
投稿日時: 2003-03-17 09:58
ども、週末ネットに出れてないために反応できなくて申し訳ないです。
#ほとんど、ふじいさんに回答してもらっちゃってますが(笑

で、
>192.168.0.100[win2000クライアント]OutlookExpress
>からメールサーバーにPOP3でメールを見に行くと、膨大な時間がかかります。
>ほとんどがタイムアウトです。
ですが、名前解決できていないという原因の他に、可能性がもう1つあるかもしれません。
メーリングリストで流れていた事象なのですが。
NAT環境でWebサーバを公開し、80ポートへのアクセスのみフォーワードしている環境です。

Internet --- Router --- WebSerber

このとき、LAN側から自前のWebサーバへアクセスしようとして、
Routerに振られたグローバルアドレスにアクセスしたところ
TimeOutになるそうです。
プライベートアドレスでアクセスした場合は当然見れますし、
ダイヤルアップなどからアクセスする場合も見れるそうです。

原因などの議論は失念してしまいましたが、
メーラーのサーバーの設定をIPアドレスにしてしまうのが
簡単ではないでしょうか?
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2003-03-17 10:11
 BASE様にも常日頃お世話になっております。いつもありがとうございます。そういう事例があるのですね?

 メールサーバーの設定ファイル内の指定をIPアドレスにするというのはローカルの自分(192.168.0.3)を指定するのでしょうか、219.x.x.3 だったら同じですもんね。。
ふじい
大ベテラン
会議室デビュー日: 2002/05/07
投稿数: 123
お住まい・勤務地: 東京
投稿日時: 2003-03-17 10:38
こんにちは、ふじいです。

パケットがどう通るのか、図に書いたりしてみて整理するとわかると思うんですが、あたりまえのことです。というか、okumuraさんがそう設定しているからで。(笑

で、解決方法ですが、通常このような外部にDNSを公開するときは外から見たグローバルアドレスのみを記述したDNSのゾーンを公開します。これは正しいです。

すべてのフィルタリングルールがわからないので、具体的にはアドバイスできませんが、一応つじつまを合わせて通信できるようにするのは可能です(SNATしてDNATすればいいのですが、無駄です。最初から、その範囲だけしなければいいです。! をつかえば・・・・)。ですが、このような場合、通常は内部用のDNSサーバーを別途立てるのが本当の正解です。

外部のDNSには公開しているゾーンのみ、内部のDNSには公開しているゾーンと社内のイントラのゾーンなどすべてのゾーンを解決できるようにしておくわけです。

DMSを構築して、そこにDNSを置くようになれば、もう少し分かりやすいと思いますが、外部へ公開用のDNSには、そとからのDNATされたアドレス用のゾーンが載るはず。それでは内部のクライアントが解決できるはずないし、万が一設定がミスったとしたら、内部のネットワークの情報を漏らしてしまう恐れがあります。

そのような危険性を排除するために、内部解決用のDNSを構築するのが一般的です。
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2003-03-17 11:14
 お世話になります。そうですね。おっしゃる通りですね。。ローカル専用のDNSサーバーを立ち上げました。。そうするとやはりうまく行きましたし、なんか形もきれいです。。ふじい様、BASE様、本当にありがとうございました。是非またアドバイス及びご指導賜りたいと思っておりますので、今後ともよろしくお願い申し上げます。
«前のページへ 1|2|3

スキルアップ/キャリアアップ(JOB@IT)