Sponsored Link
 戻る

300.終わったですぢゃ

投稿者: ぴゅあ - 2003年07月24日 11時26分43秒

 丸々半日掛かってしまった
 今回はモロに表に出るサーバーなのでちと気を使ったってのもあるけど

 今回のはWinでやってたhttpサーバーをLinuxにする
 3日くらい前かな?調べ物しててたまたま見掛けてなるほどねぇと思ったこんなのもあったし
 http://www.apache.jp/misc/windows.html
 (と思ってたら昨日ちらっと話題に出してた人を見掛けたが)

 ハードはK6-III/450MHz, 確認したらMEM:384M載ってた
 HDDは8.4G+10.2Gだったけど10.2Gだけにして1個余った(照)
 マウスは取り外し,シリアル/パラレル無効化,IDEはプライマリだけになったのでセカンダリ停止
 CD-ROMもインスト終わったら不要になるので外そうかなと(FDDもかな)・・・使い回しもできるし
 そうすりゃ消費電力少しだけでも抑えられる

 でもって最小構成のインストから
 iptables, xinetd, namedの代わりは/etc/resolve.confによる(namedは内部ルーターにあるので),
 telnet server, ftp server, ntp server(clientとして), smtp server, pop server, http server(+suEXEC+Perl)
 これくらいだったかな?
 て手順書作りつつだからこれだけだな
 http serverはやっと今利用しているプロバイダと同じような環境になったし随分使いやすくなっただろうと期待
 何よりローカルに制限してあるけどWinでsendmailもどき(単にメーラーの送信機能のみてだけだが)で対処してたのもSMTPサーバーが使えるようになったのが一番の進歩かな

 iptablesで書かなきゃと思ってた忘れてた分

# 内部ルーターへ(domain,ntp)
-A OUT_LAN -d $IRT_IP -p udp --dport domain -j ACCEPT
-A OUT_LAN -d $IRT_IP -p udp --dport ntp -j ACCEPT

 domain(/etc/resolv.confによりだが),ntp(クライアント動作)を通してあげんとね

 iptablesで少し気になってるのはESTABLISHEDで拾えないものが若干ある感じなこと
 まぁ使う側としては特に支障はないみたいだけど
 DROPされたのをログに出すようにしてるのでログが少し溜まってしまうのはねぇ・・・・
 そんな大量にではないみたいだけど

 あと接続したまま時間切れしたとき
 それは仕方ないのかな
コメント>>

299.補足

投稿者: ぴゅあ - 2003年07月24日 3時25分14秒

> 尤もインタネからプライベートIPを偽装されても帰る先はルーターで制限されるよね
 は「・・・帰る先はルーティングで制御されるよね」と言った方が解るか?

 書かなくても解ると思うけど
 LAN_NET=192.168.0.0/24
 LAN_ARROW=192.168.0.100 # telnet接続とかを要求するホスト
 LAN_MAIL=192.168.0.101 # メーラーがあるホスト
 てな感じ
 LAN_ARROW=$LAN_NETとするとLAN_ARROW=192.168.0.0/24ってことでネットワーク単位となる
コメント>>

298.iptables 他の例

投稿者: ぴゅあ - 2003年07月24日 3時16分49秒

 ルーター用ではなくスタンドアロンサーバーの例
 丁度インタネサーバーみたくLANインターフェイスが1つの場合ね
 sambaによるファイルサーバーとかでもある

 サーバーでスタンドアロンという言葉と共にたまに思い出すのは
 UNIX関連の某大手商社(かな?)でNT Serverのインストメニュー見て「NT Serverをスタンドアロンでインストするなんてサーバーの意味ないぢゃん」と言ってたおねぃさんの言葉
 これはプライマリドメインコントローラでもバックアップドメインコントローラでもない(つまりドメインコントローラ機能を持たない)サーバーのことよね
 NTで言えばIISを立てるとかドメイン管理は他でやってる環境でのファイルサーバーとかワークグループ管理な環境とか
 のため・・・とあちしは考えたりする
 sambaもドメインコントローラとして動かすかどうかの選択肢あるよね

 なんて余談は放っておいて(照)

・接続中
-A INPUT -i $LAN_IF -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o $LAN_IF -m state --state ESTABLISHED,RELATED -j ACCEPT
※RELATEDはftpへの接続を許可するとき

・内部ネットワークから(ssh,telnet,ftp,smtp,pop3)
#-A INPUT -i $LAN_IF -s $LAN_ALLOW -p tcp --dport ssh --syn -j ACCEPT
-A INPUT -i $LAN_IF -s $LAN_ALLOW -p tcp --dport telnet --syn -j ACCEPT
-A INPUT -i $LAN_IF -s $LAN_ALLOW -p tcp --dport ftp --syn -j ACCEPT
-A INPUT -i $LAN_IF -s $LAN_MAIL -p tcp --dport smtp --syn -j ACCEPT
-A INPUT -i $LAN_IF -s $LAN_MAIL -p tcp --dport pop3 --syn -j ACCEPT
※sshの設定方法はまだ未確認なのでコメントイメージ
※LAN_ALLOWとLAN_MAILはこのサーバーマシンがインタネ側からのアクセスも許可することを想定しているから
 念のため特定のホストからのみ受け付けられるように制限することを想定
 ホスト単位で制限しないならLAN_ALLOW=$LAN_NET,LAN_MAIL=$LAN_NETとかするのもあり
 尤もインタネからプライベートIPを偽装されても帰る先はルーターで制限されるよね
 接続要求もしてないクライアントに対して応答が送られたらどうなるんだろという気もしないでもないが・・・(接続要求してないんだから応答も無視されるんでは?と思ったりするが@ソースを条件にしているってのがポイントかな)

・外部ネットワークから(プライベートIPアドレス拒否)
-A INPUT -i $LAN_IF -s 127.0.0.0/8 -j DROP
-A INPUT -i $LAN_IF -s 10.0.0.0/8 -j DROP
-A INPUT -i $LAN_IF -s 172.16.0.0/12 -j DROP
-A INPUT -i $LAN_IF -s 192.168.0.0/16 -j DROP
-A INPUT -i $LAN_IF -s 169.254.0.0/16 -j DROP
-A INPUT -i $LAN_IF -s 224.0.0.0/4 -j DROP
-A INPUT -i $LAN_IF -s 240.0.0.0/5 -j DROP
※これは言うまでもなく
 先に内部ネットワークからの接続許可チェックを済ませてあるのがポイント

・外部ネットワークから(NetBIOS over TCP/IP拒否)
-A INPUT -i $LAN_IF -p tcp --sport 137:139 -j DROP
-A INPUT -i $LAN_IF -p udp --sport 137:139 -j DROP
-A INPUT -i $LAN_IF -p tcp --sport 445 -j DROP
-A INPUT -i $LAN_IF -p udp --sport 445 -j DROP
#-A INPUT -i $LAN_IF -p tcp --dport 137:139 -j DROP
#-A INPUT -i $LAN_IF -p udp --dport 137:139 -j DROP
#-A INPUT -i $LAN_IF -p tcp --dport 445 -j DROP
#-A INPUT -i $LAN_IF -p udp --dport 445 -j DROP
※デストはこの後チェックされるので不要ってことを示すためにコメントアウトとして列挙
 ソースはちゃんとチェックしなきゃねがポイント
 sambaを動かしている場合はそれなりにルール変更が必要

・外部ネットワークから(http,ftp,smtp,pop3)
-A INPUT -i $LAN_IF -p tcp --dport http --syn -j ACCEPT
#-A INPUT -i $LAN_IF -p tcp --dport ftp --syn -j ACCEPT
#-A INPUT -i $LAN_IF -p tcp --dport smtp --syn -j ACCEPT
#-A INPUT -i $LAN_IF -p tcp --dport pop3 --syn -j ACCEPT
※外部から使わせたいものだけ有効にする
 smtpが無効になってるので自ドメイン宛にメルを送ってもらうことはできんよね
 ローカル用には最初の方で許可してある
 またこのサーバーマシン内のSMTPサーバーから他のSMTPサーバーへリレーすることも不可
 ここでのsmtpのルールを許可にした場合は自ドメイン宛のメルは受け取れるということになる筈(しかし自サーバーを使っての踏み台,SPAM等は不可能な筈@サーバーマシン内のSMTPサーバーからのOUTPUTルールはないから・・・破棄される筈)
 インタネ上へこのSMTPサーバーを使って送信したい場合はOUTPUTルールを追加すれば済む筈(当然SMTPサーバー側でセキュリティを含めて適切に設定されていること@それはSMTPサーバーでの仕事)
 なんかもうひとつ付記しないといけないと感じているのだけどこれだけでいいかな?(叩きながらだから頭がいまひとつ整理できてない(照))

注意:
 iptablesの設定はルーターでもやっている
 「ルーターで十分に検討しているんだから要らないんではないか」,「ルーターとサーバー(或いは他のクライアントマシンでも同様だが)でそれぞれ個々にチェックするのは二度手間では」と思うかもしれない
 ルーターでは複数のネットワーク間での制御と所属する各ネットワークでの制御を設定した
 ネットワーク内にあるサーバーは(クライアントも)そのネットワーク内における制御は必ず必要
 例は他のネットワークからも入って来得るという特殊な形で例に挙げたが

 iptablesの設定は要らないとし得るネットワーク管理者(かなり多いだろうか?)のその根拠として言ってくるのがまず「あり得ないから」「大丈夫だから」「ルーターでやってるから」といったことであったりする
 ネットワーク管理者に限らず一般的な信頼関係の扱いでもね
コメント>>

297.インタネサーバー実験完了 ・・・かな?

投稿者: ぴゅあ - 2003年07月23日 4時35分01秒

 取り敢えず
 やりながら叩いてたんでちにまくってたが(汗)

 最小構成からのtelnet, ftp, ntp, dnsはこれまで度々やってきたけど
 SMTP(Postfix),POP(WU-IMAP)
 http(apache)+Perl+suEXECそしてCGIでのsendmail(Postfix)との連動
 これでいちおプロバイダのhttpサーバーと同じような環境になったかな
 PHPとかRubyとかは使う予定がないので放ったけど
 mod_perlは入れたけど取り敢えず置いといた
 動かすだけだろうし
 vsftpdもこれまでは単にLinuxマシン上で作ったデータとかインストファイルの転送だけに使ってたけどやってる間に普通に使うに非常に使いやすく設定になったし

 と簡単にあげたけど
 てか項目としてはそんなないのは確かだし
 しかし情報の少なさ,不完全さ,曖昧さってのは更に実感したかな
 かなりのボリュームのドキュメントも溜まってきてしまった

 でもってK6-III/450にしようかP/133にしようかと思ってたのはK6-IIIにすることにした
 ファイル転送では十分な速度が出てて問題ないし
 HTMLファイルとかを見るには十分速いけど
 (これらは全て単なるファイル転送ね@基本的には)
 PerlでのSSI(は大したこともせんので大したことないが@大したことせんためのものというのもある),CGIアプリでちと待たされるのはネックかも
 メモリも32MBしかないし
 メモリ不足が起きつつあるのは十分にあり得るしテストで使ったのはぢぶんで書いたCGIアプリ(掲示板とか)でもないし(殆ど9割以上が大量のメモリを食うような書き方されてるりだし@そういや実験に使った1つのサイトは完全にアプリな巨大な1個のアプリになってるけどその辺考えてるからか素のHTMLと殆ど変わりなかったな(照)(1回で一般的な掲示板の数十倍のコードが動いてることになるくらいでかくなってるかな))

 てぇことで満足行くような実験結果が得られたので(ていうかずっと躊躇っていたsendmailが動いてくれたし)またWinマシンが1台消滅することになりそう
 これから作業始めるか短時間で移行作業を終わらせるためにも少し準備しておくか

 因みにDNSは/etc/resovle.confだけでいい筈よね
 ルーターに置いたのはキャッシュとして機能させてインタネへのアクセスを減らすため
 のでルーターに問い合わせするように設定するだけね
 bindをインストする必要はない
 ルーターでは「わざわざ入れただけ」だから
 ntpの方は桜時計のようにクライアントとして動かすことになるけどntpサーバーを使うのかntpクライアントとかってあるのか或いは他の方法があるのか確認せにゃってとこだけど

 この後は
 Linuxのブートとかに関わる細かな調整(設定)
 各デーモンの必要性を確認して不要なものを停止&削除の方法
 カーネルカスタマイズの実験
 てとこかな
 RPMでインストしてた各々をmake installする手順はこの後にするかな
 (今後は元にしたディストリビューションから離れて(ることになるかどうかは未定だが)自分なりの環境に作り変えて行く(自ディストリビューションとかって呼び方ができるようになるんかな?て外に出さなきゃそんなもんではないか)ことになるだろうし固定されたのではなく自分に合った環境設定をしていかんとね
 例えばapacheのsuEXECなんかはパスが固定されてて対応手段にちと悩んだけど(@気持ち的に)その辺がぢぶんのポリシーで構築できるようになるんね)

 やっぱりプロクシサーバーを使うか否かの話しはまた今度に
コメント>>

296.Delegateを使うポストペットの設定<補足> その2

投稿者: Pyzar - 2003年07月22日 21時15分12秒

# 題名が長すぎると言われた(・・,)

>ぴゅあさん
すみません やっぱりボーっとしてる…

ポスぺ2001です…「ユーザー名」ではなく「名前」ですね…

smtpサーバー  192.168.2.1
popアカウント pyzar%pop.server.ne.jp@192.168.2.1

のふたつの設定でOKですね…すみません
コメント>>

295.そして・・・

投稿者: ぴゅあ - 2003年07月21日 20時28分17秒

 最後のPostfixの実験も完了
 調整はこれからだけどね
 httpサーバーからsendmailが使えることを確認
 間違いなく止めた筈のsendmailが動いてるんでなくてPostfixだよなぁ
 (いちおostfixが送っているとの表示はある)

 これでPostfixの設定が問題なく(sendmailでは懸念される難しさもなく安全に)できているということが判ったので現行httpサーバーマシンをLinuxに入れ替えてしまってもいいかなってとこ
 無設定で動かせてたvsftpdの設定のコツもたまたまだが判ったし(ちゃんとした設定手順の整理はこれからやるが)

 といままで使ってるK6-III/450MHzマシンではパワー余るかもって気もするんだけど空いてるP/133MHzマシン(ハード構成的にはそうしたいとこだけど)ではちと頼りないかもかなってのも・・・
 ちと悩むとこよね

 そいや
 Postfix+fml
 Postfix+AMaViS
 ってのが残ってたか
コメント>>

294.ftpサーバー

投稿者: ぴゅあ - 2003年07月21日 19時54分45秒

 どうも変だとずっと思っていたこと
 Red Hat 8.0/9ではvsftpdが標準になっていますよね(7.xは忘れたけど・・・)
 変だと思っていたのはやはりデフォルトのサーバー設定の問題だったらしい(6.xの頃のWU-FTPDとはこの辺がたぶん違ってたのね)

 いくつかのポイント
 Red Hat 8.0では/etc/vsftpd.conf
 Red Hat 9では/etc/vsftpd/vsftpd.conf

・anonymous_enable=YESをNOにする
 普通はanonymousでのアクセスは要らんでしょ

・以下のコメントアウトを外して有効にする
 #ascii_upload_enable=YES
 #ascii_download_enable=YES
 これをやらないとFTPクライアントでASCII転送したいといってもBINARY転送になってしまう(CR+LF−LF変換をしてくれない@もっと変だったような気もしたが・・・)

・これはコメントアウトを外して有効にした方がいい場合もあるかも
 #ls_recurse_enable=YES
 サブディレクトリを処理させようとしたときにうまく行かないときがあったみたいなのよね
 有効にすると楽に操作できるようになるのかも

・追加
 use_localtime=YES
 そのままだとGMTでファイルやディレクトリが作られるので現地時間(JST)で作らせるようにする
 コピー元と同じにできないってのはFTPの仕様かな?(sambaの古いバージョンはコピーするとコピーした時刻になってしまっていたらしい?(設定した人が設定の仕方を知らなかっただけなのかも知れんけど@そんな人だったから(−−;)今使ってるのはコピー元と同じにしてくれるよね)

 その他の項目はどう使うかで調整するとして

 設定が終わったら
 Red Hat 8.0では/etc/init.d/xintd condrestart
 Red Hat 9では/etc/init.d/vsftpd condrestart

 Red Hat 8.0ではxinetd配下,Red Hat 9ではデーモンとして常駐してるのね
 どっちがいいのかは・・・?
コメント>>

293.あれ?

投稿者: ぴゅあ - 2003年07月21日 16時21分24秒

 Postfix最後の実験
 sendmail互換コマンドが使えるかをやろうと思って前確認として「必要される設定」をやる前にどうなるか試してみたんだけど・・・
 動いてしまった(テスト自体仮テストみたいなもんだけど)

 添付ドキュメントをよく読んでみると
 彼方此方のサイトで「必要とされる設定」として解説してるのって「特定の条件下で」
 ってことっぽい
 他のサイトで解説してるのを理解しないままコピー(無断転載云々とあったりするけどそういうのを無断・・・と本来言うのよね@内容として)したってのがやはり多いのかもね
 と思ってしまった
 まぁテストはまだ仮段階だけど

 取り敢えず先に書いた設定でやりたいと予定していたことは全てできるらしい

 あとは本チャンとして

・virtual_maps辺りで
 バーチャルドメインを設定して実ドメインが使える(そのサーバーで受け取れる)ようにすること
 そのアカウントをローカルユーザーに送ってしまう(バーチャルドメイン専用のメルボックスはうまく行かなかったのでそれは改めて後で実験するとして)
・relayhostでISPのSMTPサーバーへリレーできるようにする
 前のに補足が必要かなと思ってたけど
 inet_interfaces = allはこのサーバー宛のメルはISPのではなく(とは限らず)何処のSMTPサーバーからリレーされてくるか判らないし直接送られてくる場合もあり得るのでallとなるのが自然かもしれない(ネットワーク指定がうまく行かなかったみたいなのでだが要調査)
 mynetworksで直にこのサーバーを使ってリレーできるネットワークを限定するんだったかな
 ちとこの辺は整理しなきゃだけどこれによって自ネットワーク以外から(このサーバー宛のメルは送信できるけど)「このサーバーを使って他のドメイン宛」のメルは送信できんということになるんだったと思う(つまり踏み台とかSPAMとかを防止する・・・ある程度としとこぉ)

 だけくらいかな

 ぢゃあhttpサーバーの実験するかな
 主には手でインストする場合の必要なRPMと関連として何が入ってるか/何を入れるかだけど@PerlとかPHPとかRubyとか結構手間掛かったりするmod_perlとかASPとか(hpptサーバーの設定とかには問題ないから)
 PHP,Ruby,ASP或いはMySQLとかは使わんので逆に要らんのよね
コメント>>

292.追記

投稿者: ぴゅあ - 2003年07月20日 23時44分23秒

 ↓のPostfixの最小設定はローカルネットワークの範囲で使う分にはこれでいい
 ISPのSMTPサーバーを使って外部に送信する場合もrelayhostの設定だけ
 (くらいの筈/セキュリティ関係は課題とするとして)
 すんごく簡単でしょ
 sendmailで尻込みしてしまうのがウソみたいに

 このときのメルはfoo@server.local宛に送信すると実在するユーザーfooのメルボックスに入る
 sendmailではroot@server.local宛はrootのメルボックスに入るのだが・・・
 例えばadmin@server.local宛に送るとそれはrootのメルボックスへ入りそうでホントはpostfixのメルボックスへ入る
 root@server.local宛のメルもやはりpostfixのメルボックスへ入るのだ
 これは/etc/postfix/aliasesを見れば判る(root→postfix,admin→rootとか書いてあるのでadmin宛はadmin→root→postfixということでpostfixのメルボックスへ届く)
 rootはアカウントが生きているのでmailコマンドでも見ることができたがpostfixは生きていない(パスワード設定がない)
 例えばadminのようにaliasesに書かれているものを他のユーザーへ渡したいときは→rootのrootをそのユーザー名に変えるか
 adminというユーザーが実在するならadmin→rootをコメントアウトしてやるといいだろう
 (未実験)
 ただaliasesの機能というのはそういうもんだという説明であったりする

 因みにpostfixとかに届いたメルはWebminではそのまま見られるのでそれで済ましておくというのもひとつかもしれない(普通にやりとりで使うメルならちゃんとしたユーザーとして設定しておくのがいいと思うが)
コメント>>

291.あれ?

投稿者: ぴゅあ - 2003年07月20日 23時30分34秒

 風邪ですかぁ
 やですね
 あちしも治った感じはあるけど随分経ってるけどどうも喉がおかしい・・・

 てか あれ?
 ややこしい設定の方の話だったと思うのでポスペ2001とか辺りの話かと思ったんだけど・・・

 ポスペV3だと前にちらっと変わったと書いたけど普通のメーラーと同じように設定できるように変わってますよね
 だから普通にメーラーに設定するようにすればいい

 あれ?と思ったのは「ユーザー名」という言葉が出てきたから
 2001でもV3でも設定項目の並びが良くない?と思うから判り難くもなると思うけど
 SMTPサーバー,POPサーバーはそれぞれサーバー名の設定
 ユーザー名とパスワードはPOPサーバーで認証するときに使うアカウントとパスワード
 名前と電子メールアドレスはメーラーに乗る送信者の名前とメアド
 ですよね(判り難いと言えばユーザー名とパスワードが離れているからということでもあるが@これが2001だと項目の関係上更に判り難い位置なのかも?と思ったり)

 のでポスペV3だと何も悩むことなく普通のメーラーと一緒の筈

 で
 前提としていたポスペ2001辺りだと
 SMTPサーバーはサーバー名
 POPアカウントはわざわざアカウントとしていることもありアカウント+"@"+POPサーバー名(アカウントとはPOPサーバーで認証するときに使うアカウント)
 パスワードはPOPサーバーで認証するときに使うパスワード
 名前と電子メールアドレスはメーラーに乗る送信者の名前とメアド

 つまり2001ではV3或いは一般のメーラーで別々の項目で設定するアカウントとPOPサーバー名をひとつにまとめて指定するようになっている(だけ)
 なんでわざわざこんなややこしい形にしたのかは判らないけど
 設計した人がどう考えたかだし

 ので2001とかだとPOPアカウントに今まで話に出てきたようにDelegateとの連携にちと工夫をしないといけない(V3とかだと普通にDelegateを使うつまりで)
 どうも最初の記事からポスペのバージョンの違いがごっちゃになってるように思えるんだけど?
 POPアカウントという言葉が出てきてまた2001とかのように設定が出てきていたから2001辺りの話だろうとしてたけどどうもV3の話がまぢっているようで・・・(2001辺りでは「ユーザー名」という項目はないですよね??)


 Postfix最小設定
 を整理・再確認しておいた
 ローカルなネットワーク内でのみ利用し各クライアントの一般的なメーラーで送受信できるようにするという条件

 Postfixのmain.cfが初期状態な設定にあるとして
※postconf或いはpostconf -dとかでデフォルトで設定された設定値を確認しておくこと

 myhostname = mail.server.local
 そんなに重要ではないらしい
 しかしFQDN形式のホスト名でなければならない(メアドにドメインを使ってローカルマシン以外からアクセスする場合?)のでネットワーク(システム)にマシン名で設定されているなら適当なホスト名を付ける
 既にFQDN形式で設定されているならコメントアウトのままでもいい

 mydomain = server.local
 myhostnameと同様
 ホスト名が既にFQDN形式で設定されているならコメントアウトのままでもいい

 myorigin = $mydomain
 デフォルトではmyorigin = $myhostname
 これだとroot@mail.server.localのようなメアドとなる
 root@server.localが好みならmyorigin = $mydomainにするのもいいだろう
 なおこれは送信するメルの送信者,宛先にドメイン名が付加されていないときに付与されるドメイン名となる
 例えば送信者或いは宛先をfooとするとそれぞれfoo@server.localのように補完された上で送信される

 inet_interfaces = all
 デフォルトはinet_interfaces = localhost
 ローカルマシンでのみ使われる設定としてはひれで完成しているものと思われる
 因みに各デーモンからはroot@localhost宛に送信されるらしい
 Postfixはこれをroot@server.localとして送りなおすようみ見える動作をしているらしい(?)
 ので実際に届いたメルはroot@server.localからroot@server.local宛となっている
 sendmailのままだとこれがroot@localhostからroot@localhostとなっていたかと思う
 localhostというドメインは127.0.0.1として定義されている(/etc/hostsにもあるでしょ@でも実際はDNSサーバーの方にあるものの筈)

 mydestination = $myhostname, localhost.$mydomain, $mydomain
 $myhostname, localhost.$mydomainは必須らしいのでこれはそのまま書いておく
 デフォルトでは$mydomainがないのだけどfoo@mail.server.local(mailの部分はマシン名としてつけたようなものでもいい(myhostnameを再設定しないなら@例:unix01とか))
 foo@server.localをメアドとして使いたいなら$mydomainを追加しておく
 上のように書いておくとfoo@mail.server.local, foo@localhost.server.local, foo@server.localのメアドが使えるようになる(2番目はそうなの?だったりするけどその筈)
 mydestinationはこのサーバーが終着点であるつまりメルボックスを持つドメイン(或いはホスト名@最初の2つはホスト名よね)を書いておく("@"以降がマッチされるもの)

 mynetworks = 192.168.0.0/24, 127.0.0.0/8
 送信(リレーと呼ばれる)を許可させるネットワークだったかな

 relayhost = $mydomain
 デフォルトではrelayhost =つまり指定なし
 指定なしとはmydestinationにマッチしなかったドメイン宛のメルをDNS検索して各ドメインに存在するSMTPサーバーを探してそこへ直接送信する
 ので指定なしだとインタネ上へ出て行くためイントラネットでのみ使いたい場合にはダメである
 また直接各SMTPサーバーに接続しようとするので拒否されることも多くまた応答の遅いところは待たされたりもするだろう(よく落ちているところも結構あるもの)
 イントラネットでのみ使う場合はここにローカルマシンに設定したドメイン名$mydomainを設定してやる(のでいい筈(要実験))
 外に出されようとなるべきメルは自分自身に対象ドメインが存在しないのでそんなサーバー知らんと言って拒否される(なんかDNS検索に失敗したとかいうエラーがログに出るのは変と思うかも知れないが・・・)
 インタネに送信できるようにするにはここにISPのSMTPサーバーを指定するのが適当だろう
 ローカルの他のサーバーを指定する場合は[192.168.0.2]のように[]で囲って指定する(DNS検索をしないの意@DNSサーバーに登録してないとき)
 ISPのSMTPサーバーは[IPアドレス]としてもいいけどホスト名にした方が柔軟性はあるんだろうね

 設定を変えるのはこれくらいでいい筈
 Postfixはデフォルトでほぼ適切な設定になっているということなのでこれだけで済むのだが確認は必要(main.cfによって少し補完されているものもある)
 なおセキュリティのための追加設定については省略してある

 sendmailでは暗号みたいなcfに尻込みして
 また簡単設定のためのCFもバグとかで問題が出たこともあるとのこと
 sendmailとCFの対応バージョンが一致していなくても問題があるだろう(何故なら簡単設定のためのツールであるから・・・1つの項目で複数の関連項目が設定されるということは当たり前とも考えられる)
 そんなわけでsendmailはCFを使ったとしても(使ったことで)更に安全性に疑問も持つものかも知れない
 そんな中でPostfixは非常に設定し易いものであったりするとも思う
 (難解(そう)なものを使うのがプロだと威張り捲くる人も多いし或いはPostfixを使うなんて技術力ない人が使うもんだ(おもちゃで遊んでいるようなもの・・・の感か?)とか意って威張ってるよう人も居るが怪しい状態を時間を掛けて作っているよりはよっぽど安定して使えるものと言えるだろうしそういう判断ができるかどうかがホントの差なんだろなと思ったりする
 難しそうだからやるとカッコイイからやるでは全然かっこよくない
 もしそういった人がエンジニアだと自称しているとしたら能のないエンジニアだなってだけのことである/学ぶために取り組むとは全然意味が違う点に注意)

 ドメイン(前に書いたとき(*1)と書いたんだけど何を書くつもりか忘れたもの)
 ・・・と思ったけど疲れたから次の機会にしよう(汗)
コメント>>

トップへ