- PR -

25,587ポート接続不可で110ポート接続可

1
投稿者投稿内容
tana59
会議室デビュー日: 2005/02/01
投稿数: 4
投稿日時: 2008-02-19 20:41
DMZゾーンに設置しているWin2003サーバーで、
Cisco IPX FWを介してインターネットに接続しています。
インターネット先のレンタルサーバーにPOP3,SMTPサーバーが
あります。
Win2003サーバーのコマンド窓から、
telnet mail.xxx.co.jp 25
とすると、即座に「接続に失敗しました」になります。
telnet mail.xxx.co.jp 110 
は、+OK ready ・・・ が帰ってきて接続が確認できます。
telnet mail.xxx.co.jp 587
でも、即座に「接続に失敗しました」になります。

ping も、ポート番号を指定しないtelnetも接続できます。

FWを疑って、業者さんに確認、立ち合いしていただきましたが、
原因はわかりませんでした。

また、DMZにWin XP(と思う)をつないで、
telnet mail.xxx.co.jp 25 は接続できました。

DMZ内はローカルIPアドレスで、FWでグローバルIPアドレスに
マッピングしています。

何か原因は考えられるでしょうか?
basty
常連さん
会議室デビュー日: 2006/10/06
投稿数: 42
投稿日時: 2008-02-19 21:11
こんばんわ。

#PIXは疎いので細かい部分はご容赦ください。

DMZにXPをつないだとありますが、
このXPとWin2003サーバは同じIPでつなげているんでしょうか?
もし、違うIPだった場合、PIX Firewallのポリシじゃないかなぁと
安易ですが思いました。

立ち会った業者さんには、Win2003が失敗しているときに
PIXのログか何かを確認してもらったのでしょうか。
原因が分からないということは、PIXにおいて通信をブロックしたことが
無いという結果が得られているということですよね?
tana59
会議室デビュー日: 2005/02/01
投稿数: 4
投稿日時: 2008-02-19 21:19
>このXPとWin2003サーバは同じIPでつなげているんでしょうか?
違うIP(アドレスですよね)で接続しました。

>PIXのログか何かを確認してもらったのでしょうか。
確認してもらったのですが、セッションが開始しないと
Logには載らないとのことで、接続不可時のLogは載ってなかったそうです。

>原因が分からないということは、PIXにおいて通信をブロックしたことが
無いという結果が得られているということですよね?
はい、ブロックした形跡はなかったそうです。
なので、Win2003からパケットが出ているのかも定かではない状態です。
パケットトレースを採取しないとこれ以上の調査はできないとの事でした。(泣)
basty
常連さん
会議室デビュー日: 2006/10/06
投稿数: 42
投稿日時: 2008-02-20 00:57
Firewallのポリシーとして、通信のSource_IPアドレスが
Win2003サーバのIPアドレスに限ってのポリシーがあったりしませんか?
既に確認されてるかもしれませんが、Win2003のIPはポリシーの為にダメで、
XPのIPはポリシーに合致していないから通ったり・・・・とか

パケットが確実に出てる出ていないを見るのであれば、
リピータHUBをかませる or SwitchのPortミラーリングを使って
パケットキャプチャをしてみるとかが良いでしょうね。
tana59
会議室デビュー日: 2005/02/01
投稿数: 4
投稿日時: 2008-02-20 18:42
>リピータHUBをかませる or SwitchのPortミラーリングを使って
パケットキャプチャをしてみるとかが良いでしょうね。
これをやってみようと計画しています。
ただ、自分がプロジェクトを外れる事になり、
調査は他の人がおこなう事になりました。

bastyさん、ありがとうございました。
1

スキルアップ/キャリアアップ(JOB@IT)