セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA 7.x:DMZ でのメール サーバ アクセスの設定例

2008 年 8 月 26 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 10 月 1 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
設定
      ネットワーク ダイアグラム
      PIX の設定
      ESMTP TLS の設定
確認
トラブルシューティング
      トラブルシューティングのためのコマンド
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

この設定例は、非武装地帯(DMZ)ネットワークに配置されたメール サーバにアクセスするために PIX ファイアウォールを設定する方法を示しています。

注:Microsoft Exchange の設定方法については、『Cisco Secure PIX ファイアウォールに関する Cisco ドキュメント』を参照してください。ソフトウェアのバージョンを選択した後、設定ガイドに移動し、Microsoft Exchange の設定に関する章を参照してください。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • PIX Firewall 535

  • PIX Firewall ソフトウェア リリース 7.1(1)

  • Cisco 2600 ルータ

  • Cisco IOS(R) ソフトウェア リリース 12.3.14T

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するための情報を提供しています。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

pix7x-mailserver-1.gif

注:この設定で使用している IP アドレス スキームは、インターネット上で正式にルーティング可能なものではありません。これらは RFC 1918 leavingcisco.com でのアドレスで、ラボ環境で使用されたものです。

PIX の設定

このドキュメントでは、次の設定を使用しています。

PIX の設定

PIX Version 7.1(1) 
!
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 shutdown
 nameif BB
 security-level 0
 no ip address
!
interface Ethernet1
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet2
 no nameif
 no security-level
 no ip address
!
interface Ethernet3
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0 
!
interface Ethernet4
 nameif outside
 security-level 0
 ip address  192.168.200.225 255.255.255.224 
!
interface Ethernet5
 nameif dmz
 security-level 10
 ip address 172.16.31.1 255.255.255.0 
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system flash:/pix711.bin
ftp mode passive


!--- このアクセス リストは、IP アドレス 
!--- 192.168.200.227 の Simple Mail Transfer Protocol 
!--- (SMTP)ポートへのアクセスを許可します。

 
access-list outside_int extended permit tcp any host  192.168.200.227 eq smtp 


!--- 発信 SMTP 接続を許可します。
!--- このアクセス リストは、SMTP ポートを提供する IP アドレス 172.16.31.10
!--- のホストに対して、任意のホストへのアクセスを許可します。


access-list dmz_int extended permit tcp host 172.16.31.10 any eq smtp

pager lines 24
mtu BB 1500
mtu inside 1500
mtu outside 1500
mtu dmz 1500  
no failover
no asdm history enable
arp timeout 14400
global (outside) 1  192.168.200.228-192.168.200.253 netmask 255.255.255.224
global (outside) 1  192.168.200.254
nat (inside) 1 10.1.1.0 255.255.255.0


!--- このネットワーク スタティックはアドレス変換を使用しません。 
!--- Inside のホストは DMZ では独自のアドレスで認識されます。


static (inside,dmz) 10.1.1.0 10.1.1.0 netmask 255.255.255.0


!--- このネットワーク スタティックはアドレス変換を使用します。 
!--- Outside からメール サーバにアクセスするホストは、 
!--- 192.168.200.227 のアドレスを使用します。


static (dmz,outside)  192.168.200.227 172.16.31.10 netmask 255.255.255.255
access-group outside_int in interface outside
access-group dmz_int in interface dmz
route outside 0.0.0.0 0.0.0.0  192.168.200.226 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!

!--- (マップに含まれる)inspect esmtp コマンドは  
!--- SMTP/ESMTP に対して、アプリケーションの検査を許可します。


policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!

!--- (マップに含まれる)inspect esmtp コマンドは  
!--- SMTP/ESMTP に対して、アプリケーションの検査を許可します。

service-policy global_policy global
Cryptochecksum:2653ce2c9446fb244b410c2161a63eda
: end
[OK]

ESMTP TLS の設定

注:電子メール通信で Transport Layer Security(TLS)暗号化を使用している場合、PIX の ESMTP 検査機能(デフォルトで有効)によってパケットが廃棄されます。TLS が有効な電子メールを許可するには、次の出力に示すように ESMTP 検査機能を無効にします。

pix(config)#policy-map global_policy
pix(config-pmap)#class inspection_default
pix(config-pmap-c)#no inspect esmtp
pix(config-pmap-c)#exit
pix(config-pmap)#exit

確認

現在のところ、この設定を確認する手順はありません。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を提供しています。

トラブルシューティングのためのコマンド

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug icmp trace:ホストからの Internet Control Message Protocol(ICMP)要求が PIX に到達するかどうかを示します。このデバッグを実行できるようにするには、構成内に access-list コマンドを追加して、ICMP を許可するようにする必要があります。

    注:このデバッグを使用するために、次の出力に示すように、access-list outside_int で ICMP が許可されていることを確認してください。

    access-list outside_int extended permit tcp any host  192.168.200.227 eq smtp 
    access-list outside_int extended permit icmp any any 
    
  • logging buffer debugging:PIX を通過するホストに対して確立され拒否された接続を示します。情報は PIX ログ バッファに保存され、show log コマンドで出力を表示できます。

ロギングの設定方法については、『PIX Syslog のセットアップ』を参照してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 69374