今日の進捗
mail02にて/etc/postfix/main.cf を元の /etc/postfix/main.cf.org からコピーして、編集し直した。その後、以下のコマンドを実行した。
systemctl restart postfix
server01からuser01@external.example.com へメールした。mail02まで届いた!
次回の予定
次は、各サーバのfirewalldを設定して、不要なサービスを拒否、icmpとtcp/25を許可する設定を入れる。
VirtualBoxで遊ぶ_3
今日の進捗
server01,mail011<->mail02のPingが通るようになった。
mail01からmail02へtelnet 25 で接続できるようになった。
各サーバ
- telnet が入っていなかったので、yum -y install telnet を実施
- mail02だけyumできなかった。なぜかNAT側ではなく、内部側のNICを使おうとしていた。
- 各サーバのfirewallsでsmtpをblockしていた。とりあえず、frewalldは無効化した。
つまずいたところ・課題
1.異なるセグメント間のPing疎通
server01->mail01のsmtp接続はOK。mail01->mail02は接続しにいっているが、time outしていた。192.168.1.0/24と192.168.2.0/24のPingが通らず、ネットワークレベルでNGだった。
server01,mail01,mail02のdefault route がNAT側を向いている。これを治そうとするも、できない。
nmtui
コマンドでGUIから各インターフェースにroutingを追加した。OSをrebootしないと反映されなかった。もしかしたら、
systemctl restart network
でも良かったのかもしれない。routing追加後も、セグメント越えはできなかった。
VirtualBoxの設定でプロミスキャスモードを許可したVMにしたらPingは通った。fw01の192.168.1.254,192.168.2.254へは各サーバからPingが通るが、fw01を越えていかない。
LinuxOSでのパケット転送はip_forwardを1に設定するとできることを知る。fw01で有効化したら、できた。
各サーバのDNS設定、ルーティング設定、fw01のip_forwardの設定を恒久的にする方法はまだわかっていない。要調査。
2.mail01からmail02へsmtp接続してるが、rejectされている。
ログのメモ
connect from mail01.internal.example.com
NOQUEUE : reject : RCPT from mail01.internal.example.com[192.168.1.102] 454 4.7.1 <user01@ecternal.example.com>: Relay access denied : ヘッダー
statistics : max connection rate 2/60s for (smtp:192.168.1.102) at 日付
firewalldは止めている。
systemctl status postfix
を見ると、いくつかwarningが出ていた。これが原因かもしれない。要調査。
次回の予定
server01からmail01のメール配送をすっかり忘れていた。これを試す。server01からmail02への配送はネットワークレベルでは通るはずなので、postfixの問題か??
VirtualBoxで遊ぶ_2
今日の進捗
fw01:
- firewalldのzone設定:mail02側をpublic-zone、mail01,server01側をtrusted-zone
- firewalldの許可通信設定:dnsとsmtpを許可、smtpはきちんと出来ていない可能性有り
server01,mail01,mail02:
- postfixのインストール、設定:restartすると、warningが表示されている。main.cfのパラメーター設定に問題があるらしい。
- bind-utilsをyum:mail01とmail02に入っていなかったのでyumした。
つまずいたところ
1.yumできなくて困った。原因はNAT側インターフェースを落としていたため。その後、yumすると前のプロセスが残っていて処理が遅くなった。
ps -aef | grep -v grep | grep yum
kill -9 pid
でプロセスキルをしたら上手くいった。
/etc/yum.repos.d/CentOS-Base.repo
を編集する必要は無かった。
2.テストメールを送ろうと
mail -s testmail user01@external.example.com
を打ったら、コマンドがないとのこと。代わりに
sendmail user01@external.example.com
From: test@internal.example.com
To: user@external.example.com
Subject: test mail 1
This mail is test
.
と入力した。
mail01,mail02の/var/log/maillogには何も載っていなかった。server01の/var/log/maillogには
no route to host
とのログが。。。mail01まで到達できていないので、postfixの設定が悪いのだろう。mail01<->server01のping確認も一応しておく必要がある。NAT側をOFFにした方がよいのかも。
次回の予定
まずはserver01からmail01までメールが配送されるようにしたい。fw01とmail02は関係ないので、構築はストップする。
VirtualBoxで遊ぶ_1
無料で遊ぶ
環境は「プロのためのLinuxシステム・10年効く技術」の第2章に倣う。
プロのための Linuxシステム・10年効く技術 (Software Design plus)
- 作者: 中井悦司
- 出版社/メーカー: 技術評論社
- 発売日: 2012/06/15
- メディア: 大型本
- 購入: 6人 クリック: 88回
- この商品を含むブログ (18件) を見る
簡単な構成図は以下の通り。
外部ネットワーク || 内部ネットワーク
mail02----------------fw01----mail01----server01
fw01はFirewall機能とDNS機能を持たせることにした。実際の企業では、FirewallとDNS機能は分離する。また、内部とDMZでそれぞれDNSを構築し、役割も異なるが、今回はお遊びなので、この構成で良しとする。
今日の進捗
今日はVirtualBoxにCentOSを4台分インストール、fw01のネットワーク設定・DNS(bind)設定を実施した。
VirtualBoxは2014年頃にRubyを学ぼうと思ってインストールしていた。当時、SDNが盛り上がってきていて、FlowControllerがC言語とRubyで作られると耳にした。Rubyの方が新しくてイケてると思っていた。
熱はあっという間に冷めて、Ubuntuをインストールして少し遊んだら飽きてしまった。
今から思えば、C言語を学んでおけば良かった。。。
server01からfw01へdigする際、fw01のfirewalldを無効化しないとダメだった。次回、firewalldを編集する必要有り。
今日の気づき
CentOS7をインストールした。6との大きな違いは、ifconfigやservice XX start といったコマンドが置き換わっている点だ。会社の研修でRedhat7を少し弄ったことがあったが、ほとんど忘れていた。普段は6を使用している。
VirtualBoxで仮想インターフェースを追加するには、ゲストOSを電源OFFしておかなければならない。
仮想インターフェースへipアドレスを追加するのは
nmtui
を使用してGUIでやる。サブネットマスクは「1.1.1.1/24」といった具合に設定する。省略した場合は「/32」となる。アダプタ名は文字化けしていることがある。
ipを割り当てたら、以下のコマンドでインターフェースを有効化する。
nmcli c m [インターフェース名] connection.autoconnect yes
digはミニマムインストールだと入っていないので、yumしてあげる。
bindのゾーンファイルは/var/named以下に置く。/etc/named以下においていたので、namedが起動しなかった。。。超初歩的で恥ずかしいが、良い経験になった。
ネットワークスペシャリスト_自己採点
午後の自己採点を実施した。
参照したサイトは以下の2つ。
iTEC
TAC
採点結果は、こうなった。
| iTEC | TAC | |
|---|---|---|
| 午後1 | 60点 | 68点 |
| 午後2 | 60点 | 62点 |
ぎりぎり合格となっている。自己採点は部分点を甘めにつけたので、実際の採点ではかなり厳しいと思われる。
また、来年か…
