このスレッドはクローズされています。記事の閲覧のみとなります。

ポートの開放の考え方が分かりません

日時： 2006/03/17 02:22 名前： house   <info@shiawase-home.com> 参照： http://www.shiawase-home.com ①不明点・障害内容：ルーター・IPTABLESのポート開放について ②ログの有無   ：なし   (有：その内容)： ③Distribution  ：CENT OS ４．２       Version： ④Service Name  ：       Version： ⑤ネットワーク構成：以下に記載しました。                ------------------                | XPクライアント |（サーバにはルータの内側でしか接続しない）                ------------------                    |                ------------------               〜〜〜〜〜〜                |  ルーター  |（ポート何番か？）----------- 外部に接続                ------------------  22,80,25,110,443,53?   〜〜〜〜〜〜                    | ------------------------------------------------------------------------------------- |内部BIND設定            |                        | |ドメイン取得(Value Domain)   iptables（ポート何番か？）22,80,25,110       | |WWW公開               |           995,465,443,       | |XOOPS利用の為MYSQL-PHP利用  TCP Wrapper(IPベース）    53,3306          | |メールは外部に送信・受信    (127.0.0.1)                     | |（メールを見るのはXP)     (192.168.0.3)                    | |                (192.168.0.2)                    | |                  |                        | |          |-----------------------------------|              | |        SSL（証明書）              |              | |          |                  |              | |    |--------------------|-----------|   |---------|------ --|-----|******   | |    |          |      |   |     |     |   |   *   | |   xinetd（呼び出し）   |      |   |     |     |   |   *   | |    |          |      |   |     |     |   |   *   | |   SSH2（暗号・鍵）  メールサーバ  HTTPS HTTP メールサーバ DNS MySQL *   | |   (22)         |     (443) (80)    |    (53) (3306) *   | |    |       *******|------|        |------|         *   | |  |--------|    *   |   |        |   |    FTP（利用しない）| |  |    |    *   |   |        pop3 SMTP        *   | |WINSCP  poderosa imap4 pop3S SMTPS       (110) (25)       ******* | | (22)   (22)   (993) (995) (465)                  PASV  (20)| |        使用しない                        (21)  (21)| |                                (50000〜50030)    | ------------------------------------------------------------------------------------- いつも大変お世話になっております。 現在、サーバーのセキュリティを高めています。 私の理解が足りない部分もありますが、 現在の私のサーバー構成は上のようになっていると自分では考えています。 （上の図でおかしなところがあればご指摘いただければ幸いです） （ポート等は後に変更すると思いますが・・・） セキュリティ向上の為に出来るだけポートを防ごうと考えています。 その際に、「iptables」と「ルーター」のポートはどれを開放すればよいかが分からず 頭の中がぐちゃぐちゃになっています。 現在、外部に対して 「WWW」 「メール」（外部に送信・外部から受信） （ただし、メールを閲覧するのはルーターの内側のXPマシン） を提供しています。 XOOPSを利用しているので、MYSQL PHPを利用してます。 サーバーのデータ（WWW)等は私のデータだけです。 外部に対して、FTPやWWW場所貸しのサービスはしていません。 サーバのデータはルータの内側から「poderosa」「WIN SCP」を利用するか、 直接サーバーマシンを操作しています。 （質問内容は） １．ルータで開放するべきポートは何番か？ ２．IPTABLESで開放すべきポートは何番か？ です。 （私が混乱していること） その１）（多分これはあっている） HTTPについては、外部でHTTPとHTTPSを利用したいので、 ルータもIPTABLESも 80,443の両方を開放するのか・・・ その２）（あまり自身が無い） 例えば、BINDは内側のやりとりなので、外部に対し、ルーターやIPTABLESのポートを開放する 必要がないのか・・・ 内側といっても、ルータやIPTABLESのポートを開放する必要があるのか・・・ 同様に、MYSQLはブラウザを閲覧すると、ブラウザ側からMYSQLにアクセスするので ルータはポートを開放しなくてよくて 更にIPTABLESもポートを開放しなくてよいのか・・・ メールにてついては 外部へのメールや外部からのメールは25と110番を利用して送受信されるので ルーターは 25 と 110 だけ開放し、 実際届いたメールを閲覧する際には ルーターの内側でpop3SとSMTPSを利用し暗号をかけてXPクライアントマシンを利用 しているので、IPTABLESは 25,110,995,465の全てを開放する必要があるのか・・・ SSH２については、 ルーターの内側だけでpoderosaとWINSCPを利用し、FTPは一切利用していないので ルーターは何も開放せず、IPTABLESだけ 22 を開放するのか・・・ と以上のような疑問を持っています。 大変長い質問になりますが、よろしくお願い申し上げます。

Page:  [1] [2] [3] [4] [5] [6]

■ コンテンツ関連情報

Re: ポートの開放の考え方が分かりません ( No.6 )
日時： 2006/03/17 19:05 名前： house 補足です） 念のためサーバーのハード的な状態を記載します。 server マシンのスペックは CPU   P3-866 マザー 815E メモリ 512M HD   250G*2-RAID１（HDが壊れたついでに１万円程度だったので）DMA-ON 現在のサーバー稼動状態は下記程度です。 http://www.shiawase-home.com/mrtg/ この程度で、XPでネットを閲覧する際に 「SERVER」を経由しただけで それほどスピードが落ちるものなのか・・・というのも疑問ですが・・・
Re: ポートの開放の考え方が分かりません ( No.7 )
日時： 2006/03/17 19:29 名前： stratix houseさん なるほど。やはりいくつか思い違いをされているようです。 ># 内部からのアクセスをすべて許可・・・（この「内部」という解釈が今ひとつだったりします） >iptables -A INPUT -s $LOCALNET -j ACCEPT ここでいう「内部」というのは、ROUTERを境界としたLAN側のことをいいます。 つまり上記の構成ですと、 >ROUTER 192.168.0.1 >server(LINUX)192.168.0.2 >client(XP)192.168.0.3 これらはすべてネットワークアドレス部（192.168.0.）が同じなので、同じ内部ネットワークに属します。 >１．今まで運用してきた方法としては > >「server」にDHCPサーバーを設定 > 割り振るIPアドレスは 192.168.0.「５」〜192.168.0.20 >「client(XP)」では > 192.168.0.「３」 255.255.255.0 ネームサーバー192.168.0.「１」 ゲートウェイ192.168.0.「１」  >  を設定してました。 > 実質「server」のDHCP機能は使ってないのかもしれませんが（正しいですか？） 「client(XP)」では、上記のIPアドレス、サブネットマスク、DNSサーバ、ゲートウェイ設定を手動で設定された ということですね？「IPアドレスを自動的に取得する」ではなく… であれば、「server」のDHCP機能は使ってないですね。 >「ルーター」から見れば「server」と「client」は「ルーターの内側」に存在している これは正しいです。 >「server 」から見れば「client」は、「server」の外側に存在する。 これも正しいです。 >なので、「client」で「pop3s」や「smtps」を利用して >「server」に届いたメールを「受信」しようとした場合、 >「iptables」のポート「995,465」を許可する必要がある。 これは半分正しいです。しかし今回の場合は必要ないはずです。なぜなら ># 内部からのアクセスをすべて許可・・・（この「内部」という解釈が今ひとつだったりします） >iptables -A INPUT -s $LOCALNET -j ACCEPT この設定をしているからです。 >（問題）ただ、なぜか分かりませんが、ルーターのポート「995,465」も開放しないと >   外部から「server」に届いたメールを >   メールソフト「Becky!2」で見ることができていません。 >   iptablesではじかれているようでした。 >   ルーターのポート「995,465」も開放すると、メールを見ることができました。 ここなんですが、  『「server」に届いたメール』が外部（つまりインターネット側）から読み出せないのか、  『外部から「server」に届いたメール』が読み出せないのか、 はっきりしないんですが、前者であったのならポートを閉じているので当然のことと思います。 >２．セキュリティ向上の為にやろうとしたこと > >「server」にDHCPサーバーを設定 > 割り振るIPアドレスは 192.168.0.「３」〜192.168.0.20 > DHCPDの設定ファイルで「client」に割り振るローカルIPを固定 >  （「client(XP)の名前」「IP：192.168.0.3」「MACアドレス」を設定し、固定） > >「client(XP)」では > TCP-IPの設定で > 192.168.0.「３」 255.255.255.0 ネームサーバー192.168.0.「２」 ゲートウェイ192.168.0.「２」  >  を固定で設定してました。 クライアントで固定で設定しているのなら、DHCPサーバの設定はまったく必要の無いものです。 また、上記の構成ですと、ゲートウェイは192.168.0.1（ルータのLAN側アドレス）になります。 それと「server」のゲートウェイや参照するDNSサーバの設定がどうなっているかも気になるところです。 > 「ルーター」から見ても「server」から見ても >  「client」は「両方の内側」に存在している >  なので、「client」で「pop3s」や「smtps」を利用して >  「server」に届いたメールを「受信」しようとした場合、 ちょっと違うような気がします。 「server」から見た「client」は、確かに同一のネットワークに所属してますが、 「内側」とかではなく、むしろ「同列」です。 ですから、以下の認識は誤りということになります。 >  インターネット >      | >   -------------- >   | ルーター | >   -------------- >      | > ------------------ > |   サーバ   | > ------------------ >      |      > ------------------ > | XPクライアント | > ------------------ >その１）ネット閲覧のスピードがかなり遅くなる >その２）クライアントPCからバーチャルドメインで設定したWWWを見るとエラーになる。 この問題は両方ともBINDなどの設定ミスのような気がします。 構成を変更する前は、名前解決をルータにさせていたようですので。 named.confやゾーンファイルをさらす、"iptables -L"の結果をさらすなどしてみると回答が 得られるかも知れませんね（←超他力本願）。 私ですか？ちょっと立て込んできたので、レスが遅れるかもしれません(^_^;
Re: ポートの開放の考え方が分かりません ( No.8 )
日時： 2006/03/17 19:33 名前： stratix houseさん 書き込んだあとで補足に気づきました^^; >この程度で、XPでネットを閲覧する際に >「SERVER」を経由しただけで >それほどスピードが落ちるものなのか・・・というのも疑問ですが・・・ そもそも「SERVER」を経由する必要はありません。 No.7の返信でも書きましたが、「client」のデフォルトゲートウェイは 192.168.0.1（ルータのLAN側アドレス）に設定してください。
Re: ポートの開放の考え方が分かりません ( No.9 )
日時： 2006/03/17 20:33 名前： house   <info@shiawase-home.com> 参照： http://www.shiawase-home.com 有り難うございます。 > 『「server」に届いたメール』が外部（つまりインターネット側）から読み出せないのか、 > 『外部から「server」に届いたメール』が読み出せないのか、 については、 『外部から「server」に届いたメール』が「client」PCで見ることが出来ないです。 おかしな状況と思います。 ＊＊＊＊＊＊＊＊＊＊＊ 多分、言われるように、ネームサーバーの設定関係が原因と思います。 なんとなく、原因が分かってきたような気がします。 １．今までに設定してきた設定で iptables にて「pop3s」と「smtps」のポート・・・開放しない ルーター   「pop3s」と「smtps」のポート・・・開放 とすると、メールは受信することが出来ますが、 ルーター   「pop3s」と「smtps」のポート・・・開放しない とメール受信がエラーになります。 （仮定） 内部のネームサーバー設定がおかしい為に、 内部でドメインを入力しても 内部での解決が出来ない為に ドメインを取得した「バリュードメイン」に問い合わせに行っており、 そこから私のパソコンにアクセスしている。 なので、ルーター側でポートを空けないとエラーになる （検証） ルーターのポート８０・・・開放しない この状態（内部）でメインのドメインを入力 結果）ルーターの設定画面が表示された。 この状態（内部）でバーチャルのドメインを入力 結果）ルーターの設定画面が表示された。 ということは、私の内部のドメインにアクセスできていない、 名前解決が出来ていない、ということだと思います。 ということは） clientPC(XP)のローカルIPを serverから取得させると、 上記の状態と同じようになり、 メインのドメインは表示されても バーチャルドメインが表示されない。 ということになっているのだと考えます。 ＊＊＊＊＊ 問題のネームサーバーですが、 まずはもう一度 管理人さんがドメインを取得したときの内容と 以前「もちお」さんがバーチャルドメインについて質問されていた項目を 再度熟読し、何度か試してみてから投稿したいと思います。 ＊＊＊＊＊ これをご覧の皆様、是非ともご支援をお願い致します。
Re: ポートの開放の考え方が分かりません ( No.10 )
日時： 2006/03/18 00:29 名前： stratix >> 『「server」に届いたメール』が外部（つまりインターネット側）から読み出せないのか、 >> 『外部から「server」に届いたメール』が読み出せないのか、 > >については、 >『外部から「server」に届いたメール』が「client」PCで見ることが出来ないです。 >おかしな状況と思います。 ふむふむ、なるほど。 この場合、ドメイン名ではなくサーバのIPアドレスを直接指定した場合はどうなりますか？ もしそれでメールを見ることが出来たのなら、名前解決に原因があるといえるでしょう。 いろいろと試す前に、まずは問題の切り分けをすることが肝心ですね。

Page:  [1] [2] [3] [4] [5] [6]

■ その他