2012年3月11日

[postfix-jp: 4077]proxy_interfaces の必要性 (Subject は付けましょう)

荻野です。

proxy_interfaces を使ったことが無いので勘違いしているかもしれませんが。

山本 賢一 said the following on 12/03/10 10:42:
> <構成>
> (外部 NW) ⇒ Firewall --(LAN 1)-- Load Balancer --(LAN 2)-- SMTP Server
>

> ・外部 NW、LAN 1、LAN 2 はそれぞれ別セグメント
> ・外部 NW から SMTP Server 間の通信では FW と LBで 2回 NAT(D-NAT)変換される
> ・SMTP Server から 外部 NW 間の通信では FW と LBで 2回 NAT(S-NAT)変換される
> ・SMTP Serve から 外部 NW へ通信する際、SMTP Server のソースアドレスは
>  最終的に Firewall(外部 NW)のアドレスとなる

これだけの情報では分からないように思います。特に SMTP Server で受信した
いメールドメインの DNS 周りがどうなっているのか全く分かりません。


> 上記構成の場合、proxy_interfaces を指定する必要がありますでしょうか?

もし SMTP Server が一台しかなく、自分が MX で最優先であるドメインのメー
ルしか受け取らないならば(簡単に言えば自分宛のみ受信する場合)、
proxy_interfaces の設定は不用でしょう。マニュアルに「システムが他のドメ
インのバックアップMXホストである場合、"外部の"プロキシ/NAT アドレスを指
定しなければいけません。」とある通りです。

また、多分、
・(外部 NW) はグローバル IP アドレス
・(LAN 2) はプライベート IP アドレス
でしょうが、外部・グローバル IP アドレス用と内部・プライベート IP アドレ
ス用の DNS が分離されていて、SMTP Server では内部用の DNS のみを引くので
あれば、やはり設定は不用でしょう。(DNS の設定はきちんとされているという
前提で)


> 又、必要がある場合、どこの IP アドレスを指定する必要がありますでしょうか?

自分が MX で 2番目以降のドメイン宛のメールを受信し、かつ MX レコードに
よって転送する場合(=他のドメインのバックアップMXホストである場合)、
DNS を検索して自分より優先度の高いメールサーバが存在するかどうかを確認す
る必要があります。

検索結果に自分の NAT 対象 IP アドレスが含まれている場合、それが自分自身
の IP アドレスだと認識できないと、自分自身や自分より優先度が下のサーバに
転送を試みてしまうため、これを防止するために proxy_interfaces に指定する
のだと理解しています。

したがって、proxy_interfaces に指定する IP アドレスは、MX → A レコードを
SMTP Server 上で DNS 検索して得られる IP アドレスで、一般的にはグローバ
ル IP アドレスです。


例として、グローバル IP アドレス 1.2.3.4、SMTP ポート宛の通信が Firewall
を経由して SMTP Server の 192.168.0.1 に転送されるとします。この場合、

proxy_interfaces = 1.2.3.4

となるはずです。しかし SMTP Server 上の Postfix が DNS を引いたときに、
1.2.3.4 が出てこなければ(=内部用 DNS サーバがあれば)不用ですが、指定
しても害は無いはずです。Load Balancer など DNS に載っていない IP アドレ
スは関係ありません。

# 1.2.3.4 は実在 IP アドレスなので良くない例ですがマニュアルに合わせています

質問されているシステムが、「他のドメインのバックアップ MX ホストである」
かどうか、DNS の受信したいメールドメインの MX レコードと A レコードがど
うなっているかを示さないとなかなか回答しにくいのではないでしょうか。

--
荻野 充 (おぎの みつる) ... 「萩(はぎ)」にあらず
Key fingerprint = 7F26 5414 1805 F31B 1617 10B7 C117 07AE 1691 9BD1

_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list


投稿者 xml-rpc : 2012年3月11日 16:02
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/109004
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。