物理的セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

DMZ でのメール サーバ アクセスに関する PIX ファイアウォールの設定

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2003 年 12 月 1 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この設定例では、PIX ファイアウォールの DMZ ネットワーク上のメールサーバへの接続に関する設定方法を説明します。

この資料で設定される SMTP インスペクションは Microsoft Exchange のようなサーバへの ESMTP 接続と互換性がありません。 ESMTP に頼るメール サーバを使用する場合 SMTP インスペクションを設定しないで下さい。 また、PIXソフトウェアバージョン 7.0 およびそれ以降サポート SMTP および ESMTP インスペクション。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • PIXファイアウォール 515

  • PIXファイアウォール ソフトウェア リリース 6.3(3)

  • Cisco 3640 ルータ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/12430/mailserver.gif

設定

このドキュメントでは次の設定を使用します。

PIX の設定
PIX Version 6.3(3)
interface ethernet0 10baset
interface ethernet1 10baset
interface ethernet2 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security10
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names

!--- This access list allows hosts to access 
!--- IP address 209.168.200.227 for the SMTP port.
 
access-list outside_int permit tcp any host 209.165.200.227 eq smtp 

!--- This access list allows host IP 172.16.31.10
!--- sourcing the SMTP port to access any host.
 
access-list dmz_int permit tcp host 172.16.31.10 eq smtp any 
pager lines 24
logging on
logging buffered debugging
logging trap debugging
logging host inside 10.1.1.55
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside 209.165.200.225 255.255.255.224
ip address inside 10.1.1.1 255.255.255.0
ip address dmz 172.16.31.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address dmz
pdm history enable
arp timeout 14400
global (outside) 1 209.165.200.228-209.165.200.253 netmask 255.255.255.224
global (outside) 1 209.165.200.254
nat (inside) 1 10.1.1.0 255.255.255.0 0 0

!--- This network static does not use address translation. 
!--- Inside hosts appear on the DMZ with their own addresses.

static (inside,dmz) 10.1.1.0 10.1.1.0 netmask 255.255.255.0 0 0 

!--- This network static uses address translation. 
!--- Hosts accessing the mail server from the outside 
!--- use the 209.165.200.227 address.

static (dmz,outside) 209.165.200.227 172.16.31.10 netmask 255.255.255.255 0 0 
access-group outside_int in interface outside
access-group dmz_int in interface dmz
route outside 0.0.0.0 0.0.0.0 209.165.200.226 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server LOCAL protocol local 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
crypto map mymap 30 ipsec-isakmp
! Incomplete 
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:8c1aa55b41d6855f6745e04ce6eea614
: end
[OK]

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

トラブルシューティングのためのコマンド

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug icmp trace:ホストからの Internet Control Message Protocol(ICMP)要求が PIX に到達するかどうかを示します。 このデバッグを実行できるようにするには、構成内に access-list コマンドを追加して、ICMP を許可するようにする必要があります。

  • logging buffer debugging:PIX を通過するホストに対して確立され拒否された接続を示します。 情報は PIX ログ バッファに保存され、show log コマンドで出力を表示できます。

    ロギングの設定方法については、『PIX Syslog のセットアップ』を参照してください。


関連情報


Document ID: 12430