セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

メールサーバ接続に対する PIX Firewall の設定

2003 年 12 月 1 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 9 月 26 日) | フィードバック

目次


概要

この設定例では、PIX ファイアウォールの DMZ ネットワーク上のメールサーバへの接続に関する設定方法を説明します。

注:MS-Exchange の詳しい設定については、シスコの Cisco Secure PIX Firewall の関連文書を参照してください。ソフトウェアのバージョンを選択し、設定ガ イドに進み、MS-Exchange 設定の章を参照してください。

ハードウェアおよびソフトウェアのバージョン

この設定は、次のソフトウェアのバージョンで開発およびテストされました。

  • PIX Firewall 520
  • PIX Firewall ソフトウェア リリース 5.1(2)
  • Cisco 3640 ルータ

ネットワークダイアグラム

PIX の設定

PIX の設定
PIX Version 5.1(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
names
pager lines 24
logging on
no logging timestamp
no logging standby
no logging console
no logging monitor
no logging buffered
logging trap debugging
no logging history
logging facility 20
logging queue 512
logging host inside 10.1.1.55
interface ethernet0 10baset
interface ethernet1 10baset
interface ethernet2 100full
mtu outside 1500
mtu inside 1500
mtu DMZ 1500
ip address outside 209.165.200.225 255.255.255.224
ip address inside 10.1.1.1 255.255.255.0
ip address DMZ 172.16.31.1 255.255.255.0
no failover
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address DMZ 0.0.0.0
arp timeout 14400
global (outside) 1 209.165.200.228-209.165.200.253 netmask 255.255.255.224
global (outside) 1 209.165.200.254
nat (inside) 1 10.1.1.0 255.255.255.0 0 0
!--- このネットワーク スタティックはアドレス変換を使用しない。
!--- ホスト内ではアドレスを DMZ 上に表示。
static (inside,DMZ) 10.1.1.0 10.1.1.0 netmask 255.255.255.0 0 0 !--- このネットワーク スタティックはアドレス変換を使用。
!--- 外部からメールサーバにアクセスするホストは、
!--- 209.165.200.227 アドレスを使用。
static (DMZ,outside) 209.165.200.227 172.16.31.10 netmask 255.255.255.255 0 0
conduit permit tcp host 209.165.200.227 eq smtp any
route outside 0.0.0.0 0.0.0.0 209.165.200.226 1 timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable crypto map mymap 30 ipsec-isakmp isakmp identity hostname telnet timeout 5 terminal width 80 Cryptochecksum:f79e39120fb2cd4e05553467aa73926d : end [OK]

debug コマンド

  • debug icmp trace:ホストからの ICMP 要求が PIX に到達したかどうかを表示する。この デバッグを実行するには、conduit permit icmp any any コマンドを設定に追加する必要があります。デバッグが終わったら、セキュリティ リスクを避けるため、conduit permit icmp any any コマンドを削除します。

どの debug コマンドも実行する前に、デバッグコマンドに関する重要な情報 を参照してください。

デバッグ モードでロギング ホストを設定すると、メールとその他の確立して破棄した接続を識別する のに便利です。ロギングの設定に関する詳細は、PIX Syslogのセットアップ を参照してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 12430