2011年9月15日

[postfix-jp: 3972]リバースプロキシ環境下で、ソースIPを本来のグローバルにさせることは可能か

広瀬と申します。


現在、自社のシステムに於いて、メールサーバのリプレースを
行っているのですが、1点問題があり、解決策を探っています。


■現状


メール送信元(JavaMail) → LVS → 配信用メールサーバ2台 → LB → インターネット

という構成です。尚、今までは配信専用であったため、LBで25番は解放しておらず、自社のMX
は別のドメインにCNAMEしていました。


■変更点

別ドメインが期限失効に伴い、CNAMEしていたドメインを配信用メールサーバで兼ねさせる事に
したため、純粋な配信専用では無い構成にしなくてはならなくなりました。

メール送信元(JavaMail) → LVS → 新メールサーバ2台 ←→ F/W ←→ LB ←→ インターネット
                     ↓
                 メールクライアント(受信用)


細かな点はネットワーク構成の説明は抜きにしますが、LBがリバースプロキシとして動作している
関係で、メールサーバ本体には、ローカルIPで接続が来てしまい、全てpermit_mynetworksにより、
許可されてしまう状態であることに気づきました。


LBの機能で、リバースプロキシから透過プロキシに変更をしたところ、メールサーバまでは、グローバル
のソースIPが来ることまでは確認が取れたのですが、ソースIPがグローバルの場合、その返答パケットが
同じ経路を辿らず、別のLBが持つゲートウェイに向いてしまう為、結果的にはメールサーバに到達出来な
い状態に陥っています。


調べた範囲では、物理的にネットワーク構成の変更が必要になってくる可能性が高いのですが、Postfix
の設定により、ソースIPを変換出来る方法があるか、ご存じであればご教授頂ければと思い、メールさせ
て頂きました。

私的に調べた中では、HTTPの通信にもあるようにリバースプロキシ配下にある場合、X-FORWRAD-FORを
併用することにより、正規のソースIPで受けているように見せる方法があると思いますが、Postfixに
も似たようなパラメータがあるのですが、具体的にどのような方法があるのかが不明でしたので、その
点が有効なのか、有効であればどのような設定を基本的にすればよいのか何か事例があれば、ご提示い
ただければ、幸いです。


以上、よろしくお願いいたします。

_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list


投稿者 xml-rpc : 2011年9月15日 16:58
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/106928
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。