このスレッドはクローズされています。記事の閲覧のみとなります。
 ポートの開放の考え方が分かりません |
 |
- æ¥æï¼ 2006/03/17 02:22
- ååï¼ house
<info@shiawase-home.com>
- 参照: http://www.shiawase-home.com
- ①不明点・障害内容:ルーター・IPTABLESのポート開放について
②ログの有無 :なし
(有:その内容):
③Distribution :CENT OS 4.2
Version:
④Service Name :
Version:
⑤ネットワーク構成:以下に記載しました。
------------------
| XPクライアント |(サーバにはルータの内側でしか接続しない)
------------------
|
------------------ 〜〜〜〜〜〜
| ルーター |(ポート何番か?)----------- 外部に接続
------------------ 22,80,25,110,443,53? 〜〜〜〜〜〜
|
-------------------------------------------------------------------------------------
|内部BIND設定 | |
|ドメイン取得(Value Domain) iptables(ポート何番か?)22,80,25,110 |
|WWW公開 | 995,465,443, |
|XOOPS利用の為MYSQL-PHP利用 TCP Wrapper(IPベース) 53,3306 |
|メールは外部に送信・受信 (127.0.0.1) |
|(メールを見るのはXP) (192.168.0.3) |
| (192.168.0.2) |
| | |
| |-----------------------------------| |
| SSL(証明書) | |
| | | |
| |--------------------|-----------| |---------|------ --|-----|****** |
| | | | | | | | * |
| xinetd(呼び出し) | | | | | | * |
| | | | | | | | * |
| SSH2(暗号・鍵) メールサーバ HTTPS HTTP メールサーバ DNS MySQL * |
| (22) | (443) (80) | (53) (3306) * |
| | *******|------| |------| * |
| |--------| * | | | | FTP(利用しない)|
| | | * | | pop3 SMTP * |
|WINSCP poderosa imap4 pop3S SMTPS (110) (25) ******* |
| (22) (22) (993) (995) (465) PASV (20)|
| 使用しない (21) (21)|
| (50000〜50030) |
-------------------------------------------------------------------------------------
いつも大変お世話になっております。
現在、サーバーのセキュリティを高めています。
私の理解が足りない部分もありますが、
現在の私のサーバー構成は上のようになっていると自分では考えています。
(上の図でおかしなところがあればご指摘いただければ幸いです)
(ポート等は後に変更すると思いますが・・・)
セキュリティ向上の為に出来るだけポートを防ごうと考えています。
その際に、「iptables」と「ルーター」のポートはどれを開放すればよいかが分からず
頭の中がぐちゃぐちゃになっています。
現在、外部に対して
「WWW」
「メール」(外部に送信・外部から受信)
(ただし、メールを閲覧するのはルーターの内側のXPマシン)
を提供しています。
XOOPSを利用しているので、MYSQL PHPを利用してます。
サーバーのデータ(WWW)等は私のデータだけです。
外部に対して、FTPやWWW場所貸しのサービスはしていません。
サーバのデータはルータの内側から「poderosa」「WIN SCP」を利用するか、
直接サーバーマシンを操作しています。
(質問内容は)
1.ルータで開放するべきポートは何番か?
2.IPTABLESで開放すべきポートは何番か? です。
(私が混乱していること)
その1)(多分これはあっている)
HTTPについては、外部でHTTPとHTTPSを利用したいので、
ルータもIPTABLESも 80,443の両方を開放するのか・・・
その2)(あまり自身が無い)
例えば、BINDは内側のやりとりなので、外部に対し、ルーターやIPTABLESのポートを開放する
必要がないのか・・・
内側といっても、ルータやIPTABLESのポートを開放する必要があるのか・・・
同様に、MYSQLはブラウザを閲覧すると、ブラウザ側からMYSQLにアクセスするので
ルータはポートを開放しなくてよくて
更にIPTABLESもポートを開放しなくてよいのか・・・
メールにてついては
外部へのメールや外部からのメールは25と110番を利用して送受信されるので
ルーターは 25 と 110 だけ開放し、
実際届いたメールを閲覧する際には
ルーターの内側でpop3SとSMTPSを利用し暗号をかけてXPクライアントマシンを利用
しているので、IPTABLESは 25,110,995,465の全てを開放する必要があるのか・・・
SSH2については、
ルーターの内側だけでpoderosaとWINSCPを利用し、FTPは一切利用していないので
ルーターは何も開放せず、IPTABLESだけ 22 を開放するのか・・・
と以上のような疑問を持っています。
大変長い質問になりますが、よろしくお願い申し上げます。
 |
| Page:
[1]
[2]
[3]
[4]
[5]
[6]
|
■ コンテンツ関連情報
 Re: ポートの開放の考え方が分かりません ( No.16 ) |
|
- æ¥æï¼ 2006/03/18 07:35
- ååï¼ 管理者
- 横スレ、失礼致します。
正引きゾーンファイル「shiawase-home.com.db」ですが、前詰め(スペースまたはタブがなくなっている)されていますけど、実際はどうなっていますか?
この場合正しくbindが読み込めず名前解決できなくなってしまいます。
|
| Re: ポートの開放の考え方が分かりません ( No.17 ) |
|
- æ¥æï¼ 2006/03/18 11:51
- ååï¼ house
- いつもありがとうございます。
実際の見た目は以下のようになっています。
$TTL 86400 ; 1 day
@ IN SOA shiawase-home.com. root.shiawase-home.com. (
2006010850 ; serial
7200 ; refresh (1 hour)
3600 ; retry (15 minutes)
604800 ; expire (1 week)
86400 ; minimum (1 day)
) 左のかっこだけはもうすこし左です。
NS shiawase-home.com.
MX 10 shiawase-home.com.
A 192.168.0.2
www CNAME shiawase-home.com.
server CNAME shiawase-home.com.
TABを利用していましたが
掲示板にコピーペーストするとなんかおかしくなるので
オリジナルのほうも、TABを半角スペースで修正しました。
ちなみに実際の設定では
TABでも半角スペースでも
どちらでも問題ないですよね。
******************
みなさんも同じような道を私の100倍くらい経験しているのかもしれませんが、
1つうまくいかないごとに
ものすごく時間がかかり、
そして何よりも
・・・・悲しい
|
| Re: ポートの開放の考え方が分かりません ( No.18 ) |
|
- æ¥æï¼ 2006/03/18 13:34
- ååï¼ 管理者
- 問題ありそうもないですね。
> TABを利用していましたが
> 掲示板にコピーペーストするとなんかおかしくなるので
> オリジナルのほうも、TABを半角スペースで修正しました。
>
> ちなみに実際の設定では
> TABでも半角スペースでも
> どちらでも問題ないですよね。
スペースでもTABでも問題ありません。どちらかと言うとTABの方が良いかもしれません。
zone "2banme.com"も指定しているにも関わらず、bindのログに読み込まれた形跡がありませんね。
chrootが機能していませんか?
①「/etc/sysconfig/named」の内容を教えてください。
②上記以外に「/etc/hosts」もお願い致します。
③「# ls -l /var/named/」を教えてください。
④「# ps -ef | grep named」もお願い致します
|
| Re: ポートの開放の考え方が分かりません ( No.19 ) |
|
- æ¥æï¼ 2006/03/18 13:59
- ååï¼ house
<info@shiawase-home.com>
- 参照: http://www.shiawase-home.com
- ありがとうございます。
本当なら、別のスレッドの方が良かったですね。
後で解決したらまとめのスレッドを立てさせていただきます。
(ちょっと時間がかかるかもしれませんが)
1歩前進・1歩後退がありましたので、
まずそれを報告させて頂きます。
今まではメインのドメイン、バーチャルドメインを外部から見ることは出来ました。
ところが
今回の見直し・修正を行っている最中に、
メインドメインも バーチャルドメインも外部からも内部からも
そもそも見ることが出来ない状況になっていました。
(間抜けです)
どちらも、内部のBINDが駄目な状態でした。
現在は、とりあえず、メインのドメイン(shiawase-home.com)
については外部からも内部からも見ることが出来るようになったと思います。
ただし、バーチャルドメインが駄目な状態です。
*********************
XPマシンからPODEROSAでの作業
[root@server named]# nslookup
> 192.168.0.2
Server: 192.168.0.2
Address: 192.168.0.2#53
2.0.168.192.in-addr.arpa name = shiawase-home.com.
> shiawase-home.com
Server: 192.168.0.2
Address: 192.168.0.2#53
Name: shiawase-home.com
Address: 192.168.0.2
> 2banme.com
Server: 192.168.0.2
Address: 192.168.0.2#53
** server can't find 2banme.com: SERVFAIL
*********************************************
行ったこと
以前のバックアップファイル(shiawase-home.com.db などの*.dbファイル)を利用してみた
そのファイルの内容は以下です。
$ORIGIN .
$TTL 86400 ; 1 day
shiawase-home.com IN SOA shiawase-home.com. root.shiawase-home.com. (
2006010844 ; serial
3600 ; refresh (1 hour)
900 ; retry (15 minutes)
604800 ; expire (1 week)
86400 ; minimum (1 day)
)
NS shiawase-home.com.
A 192.168.0.2
MX 10 shiawase-home.com.
$ORIGIN shiawase-home.com.
www CNAME shiawase-home.com.
なぜか、$ORIGIN というのが記載されていて気持ちが悪いので利用していませんでした。
バーチャルドメインの *.db は上記ファイルを書き換えれば問題が無いですよね?
勝手にそのように解釈し、バーチャルドメインを再度設定しても
やはりバーチャルは駄目です。
|
| Re: ポートの開放の考え方が分かりません ( No.20 ) |
|
- æ¥æï¼ 2006/03/18 14:04
- ååï¼ 管理者
- 「$ORIGIN」行は、DHCPによるアドレスリリースが発生した為、書き換えられた行です。
むしろ、削除しましょう。
また「SOA」レコードも書き換えられてしまいます。
shiawase-home.com IN SOA shiawase-home.com. root.shiawase-home.com. (
↑
ここは「@」にしてください。上位から継承される名前部分になります。(これは別に書き換えなくても良いですが。)
|
| Page:
[1]
[2]
[3]
[4]
[5]
[6]
|
■ その他