- - PR -
25,587ポート接続不可で110ポート接続可
1
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2008-02-19 20:41
DMZゾーンに設置しているWin2003サーバーで、
Cisco IPX FWを介してインターネットに接続しています。 インターネット先のレンタルサーバーにPOP3,SMTPサーバーが あります。 Win2003サーバーのコマンド窓から、 telnet mail.xxx.co.jp 25 とすると、即座に「接続に失敗しました」になります。 telnet mail.xxx.co.jp 110 は、+OK ready ・・・ が帰ってきて接続が確認できます。 telnet mail.xxx.co.jp 587 でも、即座に「接続に失敗しました」になります。 ping も、ポート番号を指定しないtelnetも接続できます。 FWを疑って、業者さんに確認、立ち合いしていただきましたが、 原因はわかりませんでした。 また、DMZにWin XP(と思う)をつないで、 telnet mail.xxx.co.jp 25 は接続できました。 DMZ内はローカルIPアドレスで、FWでグローバルIPアドレスに マッピングしています。 何か原因は考えられるでしょうか? |
|
投稿日時: 2008-02-19 21:11
こんばんわ。
#PIXは疎いので細かい部分はご容赦ください。 DMZにXPをつないだとありますが、 このXPとWin2003サーバは同じIPでつなげているんでしょうか? もし、違うIPだった場合、PIX Firewallのポリシじゃないかなぁと 安易ですが思いました。 立ち会った業者さんには、Win2003が失敗しているときに PIXのログか何かを確認してもらったのでしょうか。 原因が分からないということは、PIXにおいて通信をブロックしたことが 無いという結果が得られているということですよね? |
|
投稿日時: 2008-02-19 21:19
>このXPとWin2003サーバは同じIPでつなげているんでしょうか?
違うIP(アドレスですよね)で接続しました。 >PIXのログか何かを確認してもらったのでしょうか。 確認してもらったのですが、セッションが開始しないと Logには載らないとのことで、接続不可時のLogは載ってなかったそうです。 >原因が分からないということは、PIXにおいて通信をブロックしたことが 無いという結果が得られているということですよね? はい、ブロックした形跡はなかったそうです。 なので、Win2003からパケットが出ているのかも定かではない状態です。 パケットトレースを採取しないとこれ以上の調査はできないとの事でした。(泣) |
|
投稿日時: 2008-02-20 00:57
Firewallのポリシーとして、通信のSource_IPアドレスが
Win2003サーバのIPアドレスに限ってのポリシーがあったりしませんか? 既に確認されてるかもしれませんが、Win2003のIPはポリシーの為にダメで、 XPのIPはポリシーに合致していないから通ったり・・・・とか パケットが確実に出てる出ていないを見るのであれば、 リピータHUBをかませる or SwitchのPortミラーリングを使って パケットキャプチャをしてみるとかが良いでしょうね。 |
|
投稿日時: 2008-02-20 18:42
>リピータHUBをかませる or SwitchのPortミラーリングを使って
パケットキャプチャをしてみるとかが良いでしょうね。 これをやってみようと計画しています。 ただ、自分がプロジェクトを外れる事になり、 調査は他の人がおこなう事になりました。 bastyさん、ありがとうございました。 |
1