FW機器を交換したらサーバ応答が無い

いつもお世話になっております。

このたび社内NWのファイアーウォール機器をSSG5からFotiGate40Cに移行する
ことになりました。

DMZ内にはWindowsのWEBサーバ、Linux（Redhat）のDNSサーバと
メールサーバ（SendMail）が入ってます。

各種設定をFortiGateに施しSSG5と入れ替えたところ、メール送受信が
接続は確立するものの、移行の通信がタイムアウトになってしまいました。
パケットを採取しFortiGateサポート担当の方に見てもらったところ、
「FortiGateからメールサーバへはちゃんと通信しているが、サーバから応答が無い」
ということが判明しました。

そこでお教えいただきたいのですが、FW機器が変わることでメールサーバーが
応答しなくなる原因について考えられることはどういったことがありますでしょうか？
確認事項のコマンドなども教えていただければ幸いです。

これまでの背景や調査結果、設定状況を以下に列挙します。
　・SSGの設定をした社員は、パスワードを告げずに失踪。
　・メーラーにはPOP3(110番）とSMTP(587番）を設定。ユーザ認証あり。暗号化無し。
　・FortiGate移行後も、WEB閲覧、および、DNSによる名前解決は出来ている。
　・LAN内からメールサーバーにTELNET接続を試みた場合、110番ポートはOKだが
　　587番ポートは接続不可となる（SSGとFortiGate両方とも）
　・↑をDMZ内からのマシンから実行しても同様の結果になる。
　・メールサーバ内でTELNET接続すると、587番でも接続可能（当たり前か・・・）

SSGの中身はパスワード不明なので見れないのですが、
これまでの流れから、各種IPアドレスやFWポリシーはSSGとFortiGateで差異は
ないと考えています。あとはメールサーバ内のFW設定が怪しいのかな？と
思うのですが、メールサーバがSSGとFortiGateを区別するのも無理な話のはず。
よって、手詰まりの状態です。

どうぞよろしくお願いいたします。

No.1 回答者： maesen 回答日時： 2013/08/07 11:53

いろいろと疑問点は多いですね。

＞接続は確立するものの、移行の通信がタイムアウトになってしまいました。
＞「FortiGateからメールサーバへはちゃんと通信しているが、サーバから応答が無い」

これだけだと判断が難しい。
TCP上でSYNに対するACK応答が無いのか、SMTPコマンドのEHLOに対する250 OKが無いのかなど
具体的な内容を確認できませんか。

＞そこでお教えいただきたいのですが、FW機器が変わることでメールサーバーが
＞応答しなくなる原因について考えられることはどういったことがありますでしょうか？

同じ機器で置き換えたわけではないので、機器が変わったことにはこだわらないほうが良いと思います。

＞・LAN内からメールサーバーにTELNET接続を試みた場合、110番ポートはOKだが
＞　　587番ポートは接続不可となる（SSGとFortiGate両方とも）
＞　・↑をDMZ内からのマシンから実行しても同様の結果になる。

これがちょっと気になるのですが、この587ポートに接続出来ない状況で、SSGではメールサーバにSMTPが接続出来てFortiGateだと接続出来ないのでしょうか？

＞SSGの中身はパスワード不明なので見れないのですが、

既に試したとは思いますが、デフォルトのままだったりしませんか。

＞あとはメールサーバ内のFW設定が怪しいのかな？と

書かれている内容からするとこれが怪しい気がしますが、
ネットワーク構成（IPアドレスなど）が変わっていないのならばちょっと説明が付かないです。
メールサーバがLinuxならば、iptablesを「service iptables stop」とかで一時的に無効にしたらどうなりますか？
また、メールサーバ上でtcpdumpなどで実際にサーバに来ている通信を確認するのも手だと思います。

この回答へのお礼

maesen様
ご回答いただきありがとうございます。

>TCP上でSYNに対するACK応答が無いのか、SMTPコマンドのEHLOに対する250 OKが無いのかなど
>具体的な内容を確認できませんか。

「TCP上でSYNに対するACK応答が無い」です（FGサポート担当者からのメールより）。
余談ですが、FGはプロキシ動作として、メールサーバの応答をまっている間、
クライアントPCに対してACKを返しています。

＞これがちょっと気になるのですが、この587ポートに接続出来ない状況で、
＞SSGではメールサーバにSMTPが接続出来てFortiGateだと接続出来ないのでしょうか？

はい、そうです。
私も大いに疑問に思うのですが、SSGではメールの送受信はできるものの、
依然として587には接続できません。
TELNETでもそうでしたし、コマンドプロンプトから「netsh diag connect mail」
とやっても、110はOKで587はNGでした。

ネットワーク構成は変わっておらず、SSGとFGの違いしかありません。
メールサーバ上で　「iptables -L」とやっても特に設定行は表示されませんでした。
ただ、とりあえずはiptablesのサービスをSTOPしたり、tcpdumpでのロギング模様の
違いから調査したいと思います（都合上、午前中しか調査できないので明日になりますが）

引き続き、何かヒントがありましたら、よろしくお願いいたします。

お礼日時：2013/08/07 13:23

No.2 回答者： doradorabu 回答日時： 2013/08/10 08:39

私はFWのポートが怪しい気がします。

切り分けとして、FWを外した状態で試験できませんか？

本当にクライアントとメールサーバが通信できてて、応答なくなるなら再現すると思います。
再現しない場合は、エフェメラルポートの範囲とかかなぁ？
再現する場合は完全にメールサーバ側になると思います。

この回答へのお礼

doradorabu様
ご回答いただきありがとうございます。

色々あって、まだ何一つ調査できていない状況です。


＞私はFWのポートが怪しい気がします。
＞切り分けとして、FWを外した状態で試験できませんか？

メールサーバーのポートに対するFWのポリシーを「ALL許可」に
してやっぱりダメだったのですが、そういう問題ではないのですかね？

「エフェメラルポートの範囲」とはどういう意味でしょうか？
ウェルノウンポートとは違い、エフェメラルポート＝一時的に自由に利用できるポート
という認識ですが、メールサーバにおけるこの設定範囲がどのように影響する可能性が
あるのでしょうか？


お手数ですが、引き続きご回答いだければ幸いです。

お礼日時：2013/08/11 10:53