ネットワークに関する問題を出題します。
以下のようなネットワーク構成となっています。
社員はWebサーバ上に配置されているWebアプリケーションを使用して経費などの各種申請を行います。
Webアプリケーションは申請を受け付けるとメールを申請者および担当部署宛にメールを送信するようになっています。
サーバへのアクセスを制限することになったためアクセスリストをルータ1に設定することになりました。
今のところの条件は以下となっています。
・事業部1と事業部2からWebページが見えるようにする。クライアントがWebアプリケーションを使用する際はHTTPおよびHTTPSが使用されます。
・Webサーバからはメールが送信できる必要があります。メール配送サーバは外部にあります。
ルータ1に以下のようなアクセスリストを設定したところ、確認メールが送られてこないという報告がありました。
アクセスリスト
//
access-list 100 permit tcp 172.16.2.0 0.0.0.255 host 172.16.10.10 eq 80
access-list 100 permit tcp 172.16.2.0 0.0.0.255 host 172.16.10.10 eq 80
access-list 100 permit tcp 172.16.3.0 0.0.0.255 host 172.16.10.10 eq 443
access-list 100 permit tcp 172.16.3.0 0.0.0.255 host 172.16.10.10 eq 443
//
適用コマンド
//
interface fa0/1
ip access-group 100 out
//
メールが送信されてこなくなった原因として考えられるものを1つ選択して下さい。
1.アクセスリストの適用方向がoutではなくinでなければならないから
2.172.16.10.10の25番ポート宛の通信を許可していないから
3.外部のメールサーバからの通信の戻りを許可していないから
4.Webサーバから外部のメールサーバへ向かう通信を許可していないから
答え 3
ACLの適用方向を見るとFa0/1のout側となっていますので、Webサーバへ向かう通信がフィルタリングの対象となります。事業部のIPアドレスからWebサーバへのHTTP(80)とHTTPS(443)の通信は許可されているのでWebサイトの閲覧には問題ありません。
このWebアプリケーションでは確認のメールを送信するとあるので外部のメール配送サーバにWebサーバからメールを送信する必要があります。アクセスリストはFa0/1のoutにしか設定されていないため、Webサーバからの通信はアクセスリストの影響をうけません。しかしメールサーバから戻ってくるレスポンスはアクセスリストのチェック対象となります。事業部1と事業部2からのHTTPとHTTPS通信以外は暗黙のdenyに該当するため、ブロックされてしまいます。
今回は戻りの通信を許可していないことがメールが送信できなくなった原因となります。
レスポンスが返ってくる通信に関してはその返ってくる通信にも気を付ける必要があります。
またメールアドレスのドメインを検索する必要がある場合はDNSの通信なども許可してやる必要があります。
