このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

ASIP6.Xメールサーバ:NAT環境用の設定とDMZ

発言者:今泉克美
( Date Thursday, January 11, 2001 11:23:34 )


=====================

タイトル:
ASIP6.Xメールサーバ:NAT環境用の設定とDMZ

=====================

参考文献:
AppleShare IP 6.x メールサーバ : 
ネットワークアドレス変換(NAT)環境用の設定
http://til.info.apple.co.jp/cgi-bin/WebObjects/TechInfo.woa/wa/showTIL?id=24962

=====================

上記文献の目的は以下のようなものです。

「ネットワークアドレス変換
(NAT、IP マスカレードとも呼ばれます)機能を
持つルータを使って設定した
プライベートネットワーク内で
 AppleShare IP (ASIP) 6.x メールサーバを
設定するにはどうすればよいでしょうか?」

=====================

さて、私どものメールサーバにて
 in-addr.arpa がうまく作成されない現象が
出ておりました。 ASIP メールサーバでは
 in-addr.arpa は、サーバによって自動的に
作成され、手入力設定は不可能です。
 ASIP メールサーバは起動時に最初に DNS を
参照して、自分の DNS 名を調べ、また、 in-addr.arpa 
を作成します。

現行の
接続構成を書きますと
常時接続回線を使いまして
ISP 側(=外側、グローバル)から
ルータ兼ファイアーウォールを
介しまして、 LAN 側(=内側、プライベート)
とにつながっているのはもちろんですが
ルータから DMZ 側(=非武装中立地帯)
にメールサーバがあります。
また、
メールサーバは、グローバルアドレスが
ふられています。

なお余談ですが、 DNS は、導入当初、 MacDns を
利用しようとしましたが安定動作しなかった
ため、 ISP 側の DNS を直接参照しています。
この件は、メールサーバもクライアントも
同様です。

このようなネットワークですので
 in-addr.arpa はユーザの勝手な都合通りには
自動作成されません。

これで発生する現象のなかで
一番困るのは SPAM 不正中継を禁止するための
設定をすると、 Lan 側のクライアントを
サーバは、自分のサブネット内とは
みなさないことです。すなわち、クライアントから
の外側の世界へのメールを、 SMTP が不正中継と
みなしてしまうことです。

解決のために DNS の設定を変更してみたらと
考えてみましたが
DNS は ISP にあるので
プライベートアドレスに関する記述を
することはできません。まとはずれでした。

内部 DNS を立ててもみましたが
所詮、サーバとクライアントはサブネットが違う
ため、SMTP は IP 詐称とみなし不正中継禁止の
ロジックが起動され接続を拒否します。

余談ですが
まったく偶然なことから
Win9X のクライアントのネットワーク定義を
不自然な形で設定するとこの接続拒否問題は解消される
ことがわかったのです。
プライベートアドレスを持った、外部にあるホストとして
しかもドメイン名を持っていない、、というふうに
認識されるようにして、 DNS 逆引きをさせないように
したのです。これで SMTP をごまかすことができるものの
正当な方法ではありませんし、ハンドリングが大変です。
また、WinNT系のクライアントではこの手が使えません。
不正中継をほぼ防げるとしても、このような設定では
いつかは破綻することが目にみえています。

そこで、 DMZ にあるサーバのアドレスを切り替えて
グローバル IP からプライベートなものに変更すれば
諸問題がいっさい解決するはずと睨みました。
同じプライベートアドレスのサブネット上に
サーバもクライアントもあるようにすればいいという
単純な発想です。
 in-addr.arpa が無事に自動構成され、クライアントは
サブネット内部のものと判断され、不正中継禁止のもとでも
無事に SMTP を利用できるというわけです。

勇躍、昨日、調べてみたところ、
今回のこの投稿の冒頭に掲げた参考文献がピッタリでした。

=====================

さて、どのように設定するのが一番よろしいか
世間一般ではどのようになされているのか
私には不明でしたので
上記参考文献を ISP に提示し意見を求めたところ
即答で「だめです」と意見を頂戴しました。

たとえルータの DMZ 側にサーバを物理的に接続しても
ふられる IP アドレスがプライベートであるならば、
論理的には内側と同じところにあることになり
かなり危険であるとのことでした。

基本的なアタックに加え、 WEB レベルでのさまざまな
攻撃手法が氾濫している現在においては、ひとたび
サーバがのっとられると、(最悪アドミニ権限をとられると)
その瞬間、同一サブネット上のすべてのクライアントが
まるはだかであるのと同然であるとのこと。
スクリプト系を使ってクライアントから WEB サーバに攻撃
をしかけてくる可能性もあるのかなー、と、独り言を私は
そっとつぶやいてみました。

せっかくファーアーウォールをたてているのですから
最悪、サーバがのっとられても、内部への侵入を妨害する
ためにも、 DMZ 側にグローバルアドレスを持ったサーバを
置くのが一番良いとのこと。
サーバは、外側と内側とのあいだの非武装地帯に
あるのですが、万が一サーバがのっとられても(これは
これで非常に気分が悪いのですが)せめて
 LAN 環境への侵入に手間を取らせたほうが良いらしい。

=====================

そうなると、冒頭の参考文献は使えません。

私なりに今、ちょっと整理をしている最中です。
さいわい、ファイアーウォール兼ルータ機器は
 NAT 機能を持ち合わせていますので
 LAN 側のクライアントから DMZ のサーバに
向かっていくときには NAT を利用できます。
サーバから見るとクライアントは、常に
グローバルな IP アドレスを持っているように
見えるわけです。 NAT の設定を上手に行えば
サーバにとってみるとクライアントは同一の
サブネット上にみえるというわけです。
 in-addr.arpa が上手に自動作成されると
良いのですが。

なお、現行持ち合わせていない内部 DNS は
 LAN 側に持ちます。
各クライアントは内部 DNS を参照します。
内部 DNS は親 DNS として、 ISP 側の DNS 
を参照してキャッシュしておきましょうか。
サーバは DNS としてやはり内部 DNS を見にいく
べきでしょうか。 MacDns は使わない予定です。

内部 DNS で必要があれば、プライベートな環境に
関する定義をしておけば良いでしょう。

また、現行では、各クライアントは固定の IP アドレスを
振っています。さきほどもうしあげた、とても異常な設定
をあえてとっているために、 DHCP は使えませんでした。
クライアントの所持するホスト名称とそのクライアントが
持つ IP アドレス( DHCP では日々変わるので)
が不一致ですと、 SMTP が
「 SPOOFING 」だとみなして接続を拒否してくれるからです。

 LAN 側におくべきである内部 DNS と DHCP サーバには
安いパソコンを一台購入して中身をごっそりいれかえて
UNIX なり LINUX なりで作ってしまいましょうか。

新しい NAT の設定では
クライアントごとの固定の IP アドレスは、強固で安心なの
ですが、ハンドリングが大変なこともあり、この際ですから
 DHCP を併用しようと思っています。
メールサーバには ISP の助言に従えば
データファイルはおけませんね。
ですから ASIP ファイルサーバの機能としては
自社で持っている WEB サイトの公共への公開と
外部の特定の業者への FTP 接続だけ使えるようにして
 WINDOWS 共有機能( SMB )は使わなくなります。
 DHCP では、ファイル共有にて問題が発生しやすい
と聞いたことがありますが、こちらの環境ではおそらく
使わずにすむかもしれません。

さっそくこれから
AppleShare IP メールサーバ : DNS の設定
http://til.info.apple.co.jp/cgi-bin/WebObjects/TechInfo.woa/wa/showTIL?id=24693
を参考にして
適切な設定について確認作業をはじめていきたいと
思っています。

 DNS の基本もしらないのかとお叱りをうけそうですね。

一月中には上位プロバイダの変更の都合で
私どものドメインに与えられたグローバル IP アドレスが
変更になります。めずらしいですね。
このタイミングにあわせて、ここまで長々書いてきたこと
を実施する予定です。

特別めだった問題点が発生したら別途ご報告を
させていただきます。