会議 : Cisco PIX 500 シリーズ セキュリティ アプライアンス

内部ネットワーク上でメール・サーバアクセスを使用する PIX Firewall の設定

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この設定例では、内部ネットワークに配置されたメール サーバにアクセスするために PIX Firewall を設定する方法を紹介します。

この資料で設定される SMTP インスペクションは Microsoft Exchange のようなサーバへの ESMTP 接続と互換性がありません。 ESMTP に頼るメール サーバを使用する場合 SMTP インスペクションを設定しないで下さい。 また、PIXソフトウェアバージョン 7.0 およびそれ以降サポート SMTP および ESMTP インスペクション。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • PIXファイアウォール 10000

  • PIXファイアウォール ソフトウェア リリース 5.1(4)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/8122/mailserver_in.gif

設定

このドキュメントでは、次の設定を使用します。

PIX ファイアウォール
PIX Version 5.1(4)

 !--- These commands name and set the security level for each PIX interface.

 nameif ethernet0 outside security0
 nameif ethernet1 inside security100
 enable password 8Ry2YjIyt7RRXU24 encrypted
 passwd 2KFQnbNIdI.2KYOU encrypted
 hostname PIX_1
 domain-name noplace.com
 fixup protocol ftp 21
 fixup protocol http 80
 fixup protocol h323 1720
 fixup protocol rsh 514
 fixup protocol smtp 25
 fixup protocol sqlnet 1521
 no names

 !--- Create an access list that permits SMTP traffic from anywhere
 !--- to the host at 209.164.3.5 (our server).  The name of this list is 
 !--- smtp. Add additional lines to this access list as required.
 !--- Note: There is one and only one access list allowed per
 !--- interface per direction (for example, inbound on the outside interface).
 !--- Because of limitation, any additional lines that need placement in
 !--- the access list need to be specified here.  If the server
 !--- in question is not SMTP, replace the occurrences of SMTP with
 !--- www, DNS, POP3, or whatever else is required. The access-list
 !--- command was introduced in PIX Software Release 5.0; it is used
 !--- here instead of a conduit statement.

 access-list smtp permit tcp any host 209.164.3.5 eq smtp
 pager lines 24
 logging on
 logging timestamp
 no logging standby
 logging console debugging
 logging monitor debugging
 logging buffered debugging
 logging trap debugging
 no logging history
 logging facility 23
 logging queue 512

 !--- Set each Ethernet interface to auto-detect its media type.

 interface ethernet0 auto
 interface ethernet1 auto
 mtu outside 1500
 mtu inside 1500

 !--- Define the IP address for each interface.

 ip address inside 192.168.1.1 255.255.255.0
 ip address outside 209.164.3.1 255.255.255.252
 no failover
 arp timeout 14400

 !--- Specify that any traffic that originates inside from the
 !--- 192.168.2.x network NATs (PAT) to 209.164.3.129 if
 !--- such traffic passes through the outside interface.

 global (outside) 1 209.164.3.129
 nat (inside) 1 192.168.2.0 255.255.255.0

 !--- Define a static translation between 192.168.2.57 on the inside and
 !--- 209.164.3.5 on the outside.  These are the addresses to be used by
 !--- the server located inside the firewall.

 static (inside,outside) 209.164.3.5 192.168.2.57 netmask 255.255.255.255

 !--- Apply the access list named smtp inbound on the outside interface.

 access-group smtp in interface outside

 !--- Set the default route to  209.164.3.2. 
 !--- The PIX assumes that this address is that of a router.

 route outside 0.0.0.0 0.0.0.0 209.164.3.2 1
 
 !--- Instruct the PIX to hand any traffic destined for 192.168.x.x
 !--- to the router at 192.168.1.2.

 route inside 192.168.0.0 255.255.0.0 192.168.1.2 1
 timeout xlate 1:30:00 conn 1:00:00 half-closed 0:10:00 udp 0:00:00
 timeout rpc 0:10:00 h323 0:05:00
 timeout uauth 0:00:00 absolute
 aaa-server TACACS+ protocol tacacs+
 aaa-server RADIUS protocol radius
 no snmp-server location
 no snmp-server contact
 snmp-server community public
 no snmp-server enable traps
 floodguard enable
 terminal width 200
 Cryptochecksum:d66eb04bc477f21ffbd5baa21ce0f85a
 : end
 
 !--- Alternate command:
 !--- conduit permit tcp host 209.164.3.5 eq smtp any
 !--- The conduit command is equivalent to 
 !--- the access-list statements this configuration shows.
 !--- In this case a path known as a conduit is created in order to allow any SMTP 
 !--- traffic to host 209.164.3.5.  Use of this command replaces the 
 !--- access-list and access-group 
 !--- statements that this configuration presents.

ルータ
Current configuration:
 !
 version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname 2522-R5
 !
 enable secret 5 $1$N0F3$XE2aJhJlCbLWYloDwNvcV.
 !
 ip subnet-zero
 !
 !
 !
 !
 !
 interface Ethernet0
 
 !--- Sets the IP address of the Ethernet interface to 209.164.3.2.

  ip address 209.164.3.2 255.255.255.252
 !
 interface Serial0

  !--- Instructs the serial interface to use 
  !--- the address of the Ethernet interface when the need arises.

  ip unnumbered ethernet 0 
 !
 interface Serial1
  no ip address
  no ip directed-broadcast
 !
 ip classless

 !--- Instructs the router to send all traffic 
 !--- destined for 209.164.3.x to 209.164.3.1.

 ip route 209.164.3.0 255.255.255.0 209.164.3.1

 !--- Instructs the router to send 
 !--- all other remote traffic out serial 0.

 ip route 0.0.0.0 0.0.0.0 serial 0
 !
 !
 line con 0
  transport input none
 line aux 0
  autoselect during-login
 line vty 0 4
  exec-timeout 5 0
  password ww
  login
 !
 end

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

logging console debugging コマンドで、メッセージが PIX コンソールに転送されます。 メール サーバへの接続に問題がある場合は、コンソール デバッグ メッセージを調べて、送信側と受信側のステーションの IP アドレスを見つけ、問題を特定します。

テクニカルサポートのサービス リクエストをオープンする際に収集する情報

この資料のトラブルシューティング の 手順を完了した、Cisco テクニカル サポートとのケースをオープンしたいと思う後更にアシスタンスを必要としたら PIXファイアウォールのトラブルシューティングためのこの情報を含むこと確実でであって下さい。
  • メール サーバのトポロジと IP アドレスの情報を含む、問題の説明。
  • ケースをオープンする前のトラブルシューティング全体
  • show tech-support コマンドの出力
  • logging buffered debugging コマンドで動作した後問題を示す show log コマンドからの出力、またはコンソールキャプチャ(もし可能であれば)
収集したデータは、圧縮しないプレーン テキスト形式(.txt)でサービス リクエストに添付してください。 サービスリクエストに情報を添付するには、TAC Service Request Tool登録ユーザ専用)を使用してアップロードします。 TAC Service Request Tool にアクセスできない場合は、情報を電子メールの添付ファイルとし、メッセージの件名にサービス リクエスト番号を含めて attach@cisco.com 宛てに送信してください。


関連情報


Document ID: 8122