ビジネスメール接続制限サービス向け「ニフティクラウド」リバース

ビジネスメール接続制限サービス向け
「ニフティクラウド」リバースプロキシ設定参考情報
ニフティ株式会社
はじめにお読みください
本紙は、「ビジネスメール」の「接続制限サービス」を利用した上で、「ニフティクラウド」に作成したサーバーをリ
バースプロキシに設定する際の参考情報を記述したものです。
そのため、本紙の通りに設定を行うことによって正常に動作することを保証するものではありません。
あらかじめご了承下さい。
ニフティクラウドで作成したサーバーをリバースプロキシとして機能させることで、メールサーバーへのアクセスをアクセス元の IP ア
ドレスで制限することができます。
本紙では、下記の 3 つの設定についての参考情報をご説明いたします。
①ニフティクラウドのロードバランサーのアクセス制限の設定
②ニフティクラウドでの作成サーバーのアクセス制限の設定
③ニフティクラウドでの作成サーバーの中継の設定
＜メールサーバーへのアクセスを「IP
＜メールサーバーへのアクセスを「IP a」からのみ許可した場合のアクセス経路＞
a」からのみ許可した場合のアクセス経路＞
ニフティクラウド
お客様オフィス
ビジネスメール
②
IP a
①
外出先
IP b
自宅
IP c
①
①
ロード
バランサー
②
お客様作成
サーバー
③
接続制限用
メールサーバー
①ニフティクラウドのロードバランサーのアクセス制限の
ニフティクラウドのロードバランサーのアクセス制限の設定
ニフティクラウドのコントロールパネルで、ロードバランサーに対するアクセスの制限を行います。
コントロールパネルメニューの「ネットワーク・セキュリティ」で、ロードバランサーのフィルター設定を変更することができます。
下記の画面にてアクセスを許可する IP アドレスを指定し、「許可する」を選択すると設定が変更されます。
②ニフティクラウドでの作成サーバーのアクセス制限を設定
お客様がニフティクラウドに作成したサーバーが、ロードバランサーからのみアクセス可能となるように設定を変更します。
【設定例】/etc/init.d/iptables
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j DROP
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
## DO NOT EDIT !!!!
-A RH-Firewall-1-INPUT -m tcp -p tcp --sport 67:68 -j ACCEPT
-A RH-Firewall-1-INPUT -m udp -p udp --sport 67:68 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
## DO NOT EDIT !!!!
-A RH-Firewall-1-INPUT -m tcp -p tcp --dport 22 -j ACCEPT
-A RHRH-FirewallFirewall-1-INPUT -s 111.171.200.96/28 -m tcp -p tcp --dport
--dport 443 -j ACCEPT
-A RHRH-FirewallFirewall-1-INPUT -s 111.171.200.125 -m tcp -p tcp --dport
--dport 443 -j ACCEPT
-A RHRH-FirewallFirewall-1-INPUT -s 111.171.200.126 -m tcp
tcp -p tcp --dport
--dport 443 -j ACCEPT
-A RHRH-FirewallFirewall-1-INPUT -s 111.171.200.96/28 -m tcp -p tcp --dport
--dport 110 -j ACCEPT
-A RHRH-FirewallFirewall-1-INPUT -s 111.171.200.125 -m tcp -p tcp --dport
--dport 110 -j ACCEPT
-A RHRH-FirewallFirewall-1-INPUT -s 111.171.200.126 -m tcp -p tcp --dport
--dport 110 -j ACCEPT
-A RHRH-FirewallFirewall-1-INPUT -s 111.171.200.96/28 -m tcp -p tcp --dport
--dport 587 -j ACCEPT
-A RHRH-FirewallFirewall-1-INPUT -s 111.171.200.125 -m tcp -p tcp --dport
--dport 587 -j ACCEPT
-A RHRH-FirewallFirewall-1-INPUT
INPUT -s 111.171.200.126 -m tcp -p tcp --dport
--dport 587 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
追加部分
③ニフティクラウドでの作成サーバーの中継設定
ニフティクラウドで作成したサーバーからビジネスメールのメールサーバー（接続制限用サーバー）にアクセスするために、作成サ
ーバーに中継の設定をします。
[1] POP 中継設定
作成サーバーへの 110/tcp ポートのアクセスを、ビジネスメールのメールサーバーの 110/tcp ポートへ中継します。
【設定例】 delegate を利用した中継
・delegate の起動例
delegated -P110 SERVER="tcprelay://POP
POPサーバー名
サーバー名:110/" PERMIT="*" REACHABLE="*" RELIABLE="*“
POP サーバー名にはアクセス先となる POP のメールサーバー名を指定します。
[2] SMTP 中継設定
作成サーバーへの 587/tcp ポートのアクセスを、ビジネスメールのメールサーバーの 587/tcp ポートへ中継します。
【設定例】 delegate を利用した中継
・delegate の起動例
delegated -P587 SERVER="tcprelay://SMTP
SMTPサーバー名
サーバー名:587/" PERMIT="*" REACHABLE="*" RELIABLE="*"
SMTP サーバー名にはアクセス先のメールサーバー名を指定します。
[3] HTTPS 中継設定
作成サーバーへの 443/tcp ポートのアクセスを、ビジネスメールのメールサーバーの 443/tcp ポートへ中継します。
また、Web メールや各種管理者画面などのメールサーバーにアクセスするための URL を、任意の文字列に書き換えます。
【設定例】 Apache を利用した中継
中継に Apache を利用する際に、以下のモジュールが必要となります。
- mod_proxy
- mod_proxy_http
- mod_proxy_html
・ssl.conf の VirtualHost 内への追記例
SSLCertificateFile サーバー証明書ファイル
SSLCertificateKeyFileｄ秘密鍵ファイル
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_http_module modules/mod_proxy.so
LoadModule proxy_html_module modules/mod_proxy_html.so
SSLProxyEngine on
ProxyRequests off
ProxyPass / https://Web
Webサーバー名
サーバー名/
ProxyPassReverse / https://Web
Webサーバー名
サーバー名/
<Location /webmail/user/MailSetting/>
ProxyHTMLLinks form
action
SetOutputFilter INFLATE;proxy-html;DEFLATE
ProxyHTMLURLMap https://Web
Webサーバー名
お客様URL
サーバー名/ https://お客様
URL/
</Location>
※サーバー証明書の取得も、お客様作業となります。
Web サーバー名にはアクセス先となる Web メールや各種管理者画面などのメールサーバー名を指定します。
お客様ＵＲＬ
お客様
ＵＲＬには Web サーバー名から書き換える任意の文字列を指定します。
2010 年 11 月 10 日

Download Report