セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA 7.x 以上: DMZ でのメール(SMTP)サーバ アクセスの設定例

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2008 年 8 月 26 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この設定 例は非武装地帯(DMZ)ネットワークにある mail/SMTP サーバにアクセスのための PIX/ASA セキュリティ アプライアンス モデルを設定する方法を示します。

PIX/ASA 7.x 以降: 内部ネットワークにある mail/SMTP サーバにアクセスのための PIX/ASA セキュリティ アプライアンス モデルを設定する方法に関する説明に関しては内部ネットワーク 設定例のメール サーバ アクセス

外部ネットワークにある mail/SMTP サーバにアクセスのための PIX/ASA セキュリティ アプライアンス モデルを設定する方法に関する説明に関しては外部ネットワーク 設定例のメール サーバ アクセスの PIX/ASA 7.x を参照して下さい。

ASA 8.3 以降: (バージョン 8.3 および それ 以降が付いている Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)の同一の構成に関する詳細については DMZ 設定例の SMTP)サーバアクセスを郵送して下さい

注: Microsoft Exchange の設定方法については、『Cisco Secure PIX ファイアウォールに関する Cisco ドキュメント』を参照してください。 ソフトウェアのバージョンを選択した後、設定ガイドに移動し、Microsoft Exchange の設定に関する章を参照してください。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • PIX Firewall 535

  • PIX Firewall ソフトウェア リリース 7.1(1)

    注: PIX 500 シリーズ バージョン 7.x/8.x は ASA 5500 バージョン 7.x/8.x で参照される同じソフトウェアを実行します。 この資料のコンフィギュレーションは両方の製品ラインに適用されます。

  • Cisco 2600 ルータ

  • Cisco IOS(R) ソフトウェア リリース 12.3.14T

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/69374-pix7x-mailserver-1.gif

注: この設定で使用している IP アドレッシング方式は、インターネット上で正式にルーティング可能なものではありません。 これらはラボ環境で使用されてきた RFC 1918 leavingcisco.com でのアドレスです。

PIX の設定

このドキュメントでは次の設定を使用しています。

PIX の設定
PIX Version 7.1(1) 
!
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 shutdown
 nameif BB
 security-level 0
 no ip address
!
interface Ethernet1
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet2
 no nameif
 no security-level
 no ip address
!
interface Ethernet3
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0 
!
interface Ethernet4
 nameif outside
 security-level 0
 ip address  192.168.200.225 255.255.255.224 
!
interface Ethernet5
 nameif dmz
 security-level 10
 ip address 172.16.31.1 255.255.255.0 
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system flash:/pix711.bin
ftp mode passive


!--- This access list allows hosts to access 
!--- IP address  192.168.200.227 for the 
!--- Simple Mail Transfer Protocol (SMTP) port.

 
access-list outside_int extended permit tcp any host  192.168.200.227 eq smtp 


!--- Allows outgoing SMTP connections.
!--- This access list allows host IP 172.16.31.10
!--- sourcing the SMTP port to access any host.


access-list dmz_int extended permit tcp host 172.16.31.10 any eq smtp

pager lines 24
mtu BB 1500
mtu inside 1500
mtu outside 1500
mtu dmz 1500  
no failover
no asdm history enable
arp timeout 14400
global (outside) 1  192.168.200.228-192.168.200.253 netmask 255.255.255.224
global (outside) 1  192.168.200.254
nat (inside) 1 10.1.1.0 255.255.255.0


!--- This network static does not use address translation. 
!--- Inside hosts appear on the DMZ with their own addresses.


static (inside,dmz) 10.1.1.0 10.1.1.0 netmask 255.255.255.0


!--- This network static uses address translation. 
!--- Hosts accessing the mail server from the outside 
!--- use the  192.168.200.227 address.


static (dmz,outside)  192.168.200.227 172.16.31.10 netmask 255.255.255.255
access-group outside_int in interface outside
access-group dmz_int in interface dmz
route outside 0.0.0.0 0.0.0.0  192.168.200.226 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!

!--- The inspect esmtp command (included in the map) allows  
!--- SMTP/ESMTP to inspect the application.


policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!

!--- The inspect esmtp command (included in the map) allows  
!--- SMTP/ESMTP to inspect the application.

service-policy global_policy global
Cryptochecksum:2653ce2c9446fb244b410c2161a63eda
: end
[OK]

ESMTP TLS の設定

注: 電子メール通信で Transport Layer Security(TLS)暗号化を使用している場合、PIX の ESMTP 検査機能(デフォルトで有効)によってパケットが廃棄されます。 TLS が有効な電子メールを許可するには、次の出力に示すように ESMTP 検査機能を無効にします。 詳細は、Cisco Bug ID CSCtn08326登録ユーザ専用)を参照してください。

pix(config)#policy-map global_policy
pix(config-pmap)#class inspection_default
pix(config-pmap-c)#no inspect esmtp
pix(config-pmap-c)#exit
pix(config-pmap)#exit

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

トラブルシューティングのためのコマンド

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug icmp trace:ホストからの Internet Control Message Protocol(ICMP)要求が PIX に到達するかどうかを示します。 このデバッグを実行するには、access-list コマンドを設定に追加して、ICMP を許可する必要があります。

    注: このデバッグを使用するために、次の出力に示すように、access-list outside_int で ICMP が許可されていることを確認してください。

    access-list outside_int extended permit tcp any host  192.168.200.227 eq smtp 
    access-list outside_int extended permit icmp any any 
  • logging buffer debugging:PIX を通過するホストに対して確立され拒否された接続を示します。 情報は PIX ログ バッファに保存され、show log コマンドで出力を表示できます。

ロギングの設定方法については、『PIX Syslog のセットアップ』を参照してください。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 69374