[postfix-jp: 3973] Re: リバースプロキシ環境下で、ソースIPを本来のグローバルにさせることは可能か

[SATOH Fumiyasu <fumiyas@xxxxxxxxxx>]

さとうふみやす @ OSSTech です。

At Thu, 15 Sep 2011 16:58:23 +0900,
momoko@xxxxxxxxxxxxxxxxx wrote:
> 自社のMXは別のドメインにCNAMEしていました。

MX RR を CNAME RR に向けているんでしょうか?? RFC 違反です。

> メール送信元(JavaMail)　→　LVS　→　新メールサーバ2台　←→　F/W　←→　LB　←→　インターネット
> 　　　　　　　　　　　　　　　　　　　　　↓
> 　　　　　　　　　　　　　　　　　メールクライアント(受信用)
> 
> 
> 細かな点はネットワーク構成の説明は抜きにしますが、LBがリバースプロキシとして動作している
> 関係で、メールサーバ本体には、ローカルIPで接続が来てしまい、全てpermit_mynetworksにより、
> 許可されてしまう状態であることに気づきました。

mynetworks から LB のローカル IP アドレスを除外するか、
smtpd_recipient_restrictions の permit_mynetworks の前に
hash:$config_directory/recipient_access か何かを足して
$config_directory/recipient_access ファイル内で
「<LBのローカルIPアドレス> reject_unauth_destination」
とでも書いておくとか。

適当に考えたので間違っているかもしれませんので、ご注意ください。:-)

> LBの機能で、リバースプロキシから透過プロキシに変更をしたところ、メールサーバまでは、グローバル
> のソースIPが来ることまでは確認が取れたのですが、ソースIPがグローバルの場合、その返答パケットが
> 同じ経路を辿らず、別のLBが持つゲートウェイに向いてしまう為、結果的にはメールサーバに到達出来な
> い状態に陥っています。

グローバルからの 25/TCP に来ているものは元の LB を経由するよう
ルーティング設定するとか妄想してみました。SMTP ではやったことがないので、
問題ないかどうかはわかりません…。

  http://dsas.blog.klab.org/archives/50326299.html

-- 
-- Name: SATOH Fumiyasu (fumiyas @ osstech co jp)
-- Business Home: http://www.OSSTech.co.jp/
-- Personal Home: http://www.SFO.jp/blog/

_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxxxxxxxxxxxxxxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list