このスレッドはクローズされています。記事の閲覧のみとなります。
 ポートの開放の考え方が分かりません |
 |
- æ¥æï¼ 2006/03/17 02:22
- ååï¼ house
<info@shiawase-home.com>
- 参照: http://www.shiawase-home.com
- ①不明点・障害内容:ルーター・IPTABLESのポート開放について
②ログの有無 :なし
(有:その内容):
③Distribution :CENT OS 4.2
Version:
④Service Name :
Version:
⑤ネットワーク構成:以下に記載しました。
------------------
| XPクライアント |(サーバにはルータの内側でしか接続しない)
------------------
|
------------------ 〜〜〜〜〜〜
| ルーター |(ポート何番か?)----------- 外部に接続
------------------ 22,80,25,110,443,53? 〜〜〜〜〜〜
|
-------------------------------------------------------------------------------------
|内部BIND設定 | |
|ドメイン取得(Value Domain) iptables(ポート何番か?)22,80,25,110 |
|WWW公開 | 995,465,443, |
|XOOPS利用の為MYSQL-PHP利用 TCP Wrapper(IPベース) 53,3306 |
|メールは外部に送信・受信 (127.0.0.1) |
|(メールを見るのはXP) (192.168.0.3) |
| (192.168.0.2) |
| | |
| |-----------------------------------| |
| SSL(証明書) | |
| | | |
| |--------------------|-----------| |---------|------ --|-----|****** |
| | | | | | | | * |
| xinetd(呼び出し) | | | | | | * |
| | | | | | | | * |
| SSH2(暗号・鍵) メールサーバ HTTPS HTTP メールサーバ DNS MySQL * |
| (22) | (443) (80) | (53) (3306) * |
| | *******|------| |------| * |
| |--------| * | | | | FTP(利用しない)|
| | | * | | pop3 SMTP * |
|WINSCP poderosa imap4 pop3S SMTPS (110) (25) ******* |
| (22) (22) (993) (995) (465) PASV (20)|
| 使用しない (21) (21)|
| (50000〜50030) |
-------------------------------------------------------------------------------------
いつも大変お世話になっております。
現在、サーバーのセキュリティを高めています。
私の理解が足りない部分もありますが、
現在の私のサーバー構成は上のようになっていると自分では考えています。
(上の図でおかしなところがあればご指摘いただければ幸いです)
(ポート等は後に変更すると思いますが・・・)
セキュリティ向上の為に出来るだけポートを防ごうと考えています。
その際に、「iptables」と「ルーター」のポートはどれを開放すればよいかが分からず
頭の中がぐちゃぐちゃになっています。
現在、外部に対して
「WWW」
「メール」(外部に送信・外部から受信)
(ただし、メールを閲覧するのはルーターの内側のXPマシン)
を提供しています。
XOOPSを利用しているので、MYSQL PHPを利用してます。
サーバーのデータ(WWW)等は私のデータだけです。
外部に対して、FTPやWWW場所貸しのサービスはしていません。
サーバのデータはルータの内側から「poderosa」「WIN SCP」を利用するか、
直接サーバーマシンを操作しています。
(質問内容は)
1.ルータで開放するべきポートは何番か?
2.IPTABLESで開放すべきポートは何番か? です。
(私が混乱していること)
その1)(多分これはあっている)
HTTPについては、外部でHTTPとHTTPSを利用したいので、
ルータもIPTABLESも 80,443の両方を開放するのか・・・
その2)(あまり自身が無い)
例えば、BINDは内側のやりとりなので、外部に対し、ルーターやIPTABLESのポートを開放する
必要がないのか・・・
内側といっても、ルータやIPTABLESのポートを開放する必要があるのか・・・
同様に、MYSQLはブラウザを閲覧すると、ブラウザ側からMYSQLにアクセスするので
ルータはポートを開放しなくてよくて
更にIPTABLESもポートを開放しなくてよいのか・・・
メールにてついては
外部へのメールや外部からのメールは25と110番を利用して送受信されるので
ルーターは 25 と 110 だけ開放し、
実際届いたメールを閲覧する際には
ルーターの内側でpop3SとSMTPSを利用し暗号をかけてXPクライアントマシンを利用
しているので、IPTABLESは 25,110,995,465の全てを開放する必要があるのか・・・
SSH2については、
ルーターの内側だけでpoderosaとWINSCPを利用し、FTPは一切利用していないので
ルーターは何も開放せず、IPTABLESだけ 22 を開放するのか・・・
と以上のような疑問を持っています。
大変長い質問になりますが、よろしくお願い申し上げます。
 |
| Page:
[1]
[2]
[3]
[4]
[5]
[6]
|
■ コンテンツ関連情報
 Re: ポートの開放の考え方が分かりません ( No.1 ) |
|
- æ¥æï¼ 2006/03/17 13:58
- ååï¼ stratix
- houseさん、こんにちわ。
>(私が混乱していること)
>その1)(多分これはあっている)
>
>HTTPについては、外部でHTTPとHTTPSを利用したいので、
>ルータもIPTABLESも 80,443の両方を開放するのか・・・
それでいいと思います。
>その2)(あまり自身が無い)
>
>例えば、BINDは内側のやりとりなので、外部に対し、ルーターやIPTABLESのポートを開放する
>必要がないのか・・・
>内側といっても、ルータやIPTABLESのポートを開放する必要があるのか・・・
BINDを内部の名前解決とフォワーダ(自分が解決できない名前の情報を、別のDNSサーバに転送して問い合わせる)
として使っている場合、フォワーダの機能を使うためにはルータもiptablesも、port 53/UDPを開ける必要があります。
ただし最近のルータなら特に設定しなくても、宛先ポート53/UDPの通信が発生した場合、コネクショントラッキング
(正確にはUDPなのでコネクションレスですが)によってNATテーブルに登録され、DNSの応答パケットはその送信元の
ノードに転送されるはずです。
>同様に、MYSQLはブラウザを閲覧すると、ブラウザ側からMYSQLにアクセスするので
>ルータはポートを開放しなくてよくて
>更にIPTABLESもポートを開放しなくてよいのか・・・
LANの内部からの通信をすべて許可するようにiptablesで設定しているのであれば、
上記でいいと思います。
>メールにてついては
>外部へのメールや外部からのメールは25と110番を利用して送受信されるので
>ルーターは 25 と 110 だけ開放し、
>実際届いたメールを閲覧する際には
>ルーターの内側でpop3SとSMTPSを利用し暗号をかけてXPクライアントマシンを利用
>しているので、IPTABLESは 25,110,995,465の全てを開放する必要があるのか・・・
メールサーバ同士のやり取りにはport 25しか使わず、外部からメールを読み出す必要は無いようなので、
ルータのport 110は閉じてかまいません。
>SSH2については、
>ルーターの内側だけでpoderosaとWINSCPを利用し、FTPは一切利用していないので
>ルーターは何も開放せず、IPTABLESだけ 22 を開放するのか・・・
外部からSSHで接続しないということなので、これも上記でいいと思います。
まとめると
>1.ルータで開放するべきポートは何番か?
25/TCP, 80/TCP, 443/TCP
>2.IPTABLESで開放すべきポートは何番か?
25/TCP, 53/UDP, 80/TCP, 443/TCP
ただし2のほうは、
・サーバから開始される外部向け通信はすべて許可
例)# iptables -A OUTPUT -p ALL -s 192.168.0.2 -j ACCEPT
(サーバのIPが192.168.0.2と仮定した場合)
・LAN内からサーバへの通信はすべて許可
例)# iptables -A INPUT -p ALL -s 192.168.0.0/24 -j ACCEPT
・既に接続が確立している通信は許可
例)# iptables -A INPUT -p ALL -m state --state ESTABLISHED -j ACCEPT
という条件下での設定です。
また「既に接続が確立している通信は許可」の条件にRELATEDを加えると、53/UDPも開けなくて大丈夫です。
例)# iptables -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT
|
| Re: ポートの開放の考え方が分かりません ( No.2 ) |
|
- æ¥æï¼ 2006/03/17 15:08
- ååï¼ house
<info@shiawase-home.com>
- 参照: http://www.shiawase-home.com
- 大変丁寧に有り難うごじます。
ちなみ クライアントの位置として
ptables の内側、というのは
サーバーからDHCPで取得しているか
サーバーの設定で固定したIPをクライアントが設定している場合のことなのですね。
(知らなかった)
今まで、
1.サーバーにストレスを与えたくなかった
2.クライアントPCのインターネット回線スピードを遅くしたくなかった、
という理由でクライアントPCの設定を以下のようにしていました。
サーバーのDHCPを設定はしていましたがそれを利用せず
固定のローカルドメインを直接クライアントPCに設定し、
直接ルーターをデフォルトゲートウェイとして
接続していました。
この設定ですと、iptablesにはじかれるので
クライアントPCも
リナックスサーバーからDHCPでIPを取得するようにしたところ
うまくいきました。
色々と条件により変わってくるのですね。
いつも勉強になります。
どうも有り難うございました。
|
| Re: ポートの開放の考え方が分かりません ( No.3 ) |
|
- æ¥æï¼ 2006/03/17 15:47
- ååï¼ house
<info@shiawase-home.com>
- 参照: http://www.shiawase-home.com
- 問題が発生しました。
上記のように
クライアントPCをリナックスサーバーからIPを発行してもらうと
(MACアドレスを元に、固定IPとして)
1.ネット閲覧のスピードがかなり遅くなる
2.クライアントPCからバーチャルドメインを見るとエラーになる。
なのでクライアントPCをリナックスサーバーに接続せずに
直接ルーターに接続しました。
結果、リナックスサーバーの外側になってしまった為、
iptables と ルーター両方を
465 と 995 を開放しました。
この設定がおかしかったら
コメントをいただければ幸いです。
|
| Re: ポートの開放の考え方が分かりません ( No.4 ) |
|
- æ¥æï¼ 2006/03/17 16:49
- ååï¼ stratix
- houseさん
>ちなみ クライアントの位置として
>ptables の内側、というのは
>サーバーからDHCPで取得しているか
>サーバーの設定で固定したIPをクライアントが設定している場合のことなのですね。
>(知らなかった)
上の記述なんですが、なにか思い違いをされていませんか?
どういった意味でおっしゃっているのか、ちょっとわからないのです。
私の書き込みで上記のように理解した、ということでしょうか?
>なのでクライアントPCをリナックスサーバーに接続せずに
>直接ルーターに接続しました。
これなんですが、最初の投稿の図は、簡潔に書き直すと以下のようになっていると解釈
していたのですが、違うのでしょうか?
インターネット
|
--------------
| ルーター |
--------------
|
---------------------------------
| |
------------------ ------------------
| XPクライアント | | サーバ |
------------------ ------------------
それとも
>リナックスサーバーに接続
ということは、以下のようになっていた、ということでしょうか?
インターネット
|
--------------
| ルーター |
--------------
|
------------------
| サーバ |
------------------
|
------------------
| XPクライアント |
------------------
正確なネットワーク構成、ルータのLAN側・XPクライアント・サーバの各IPアドレスや
iptablesの設定などがわかればもう少しコメントできるかと思うのですが…
|
| Re: ポートの開放の考え方が分かりません ( No.5 ) |
|
- æ¥æï¼ 2006/03/17 18:03
- ååï¼ house
- 勘違いをしている部分があるかもしれません。
いろいろと丁寧にありがとうございます。
具体的に記載させて頂きます。
ハードの構成としては、
インターネット
|
--------------
| ルーター |
--------------
|
---------------------------------
| |
------------------ ------------------
| XPクライアント | | サーバ |
------------------ ------------------
です。以下に詳しく記載します。
*****************
現在のハード的な構成は
yahooのADSL---MODEM---ROUTER--------server(LINUX)192.168.0.2
192.168.0.1 (www,mail等のメインサーバ)
(DHCP機能はOFF) (DNSサーバー/ネームサーバー)
| (DHCPサーバー)
| (Pstfix-Dovecot)
| (バーチャルドメイン設定)
| (バーチャルドメインのメールも運用)
|
----------client(XP)192.168.0.3
使用ソフト(poderosa)
(WINSCP)
通常のネット閲覧はこのマシンで行います。
serverの操作は90%これで行います。
※ iptablesは内側からのアクセスを全て許可する、にしています。(多分)
# 自ホストからのアクセスをすべて許可
iptables -A INPUT -i lo -j ACCEPT
# 内部からのアクセスをすべて許可・・・(この「内部」という解釈が今ひとつだったりします)
iptables -A INPUT -s $LOCALNET -j ACCEPT
# 内部から行ったアクセスに対する外部からの返答アクセスを許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
1.今まで運用してきた方法としては
「server」にDHCPサーバーを設定
割り振るIPアドレスは 192.168.0.「5」〜192.168.0.20
「client(XP)」では
192.168.0.「3」 255.255.255.0 ネームサーバー192.168.0.「1」 ゲートウェイ192.168.0.「1」
を設定してました。
実質「server」のDHCP機能は使ってないのかもしれませんが(正しいですか?)
後で他のPCを接続(2番目のBINDとして等)する時のために設定はしておいて準備していました。
上記に対して、現在の設定(勘違い?)では、
「ルーター」から見れば「server」と「client」は「ルーターの内側」に存在している
「server 」から見れば「client」は、「server」の外側に存在する。
なので、「client」で「pop3s」や「smtps」を利用して
「server」に届いたメールを「受信」しようとした場合、
「iptables」のポート「995,465」を許可する必要がある。
「ルーターは開放しなくてもよい」
(問題)ただ、なぜか分かりませんが、ルーターのポート「995,465」も開放しないと
外部から「server」に届いたメールを
メールソフト「Becky!2」で見ることができていません。
iptablesではじかれているようでした。
ルーターのポート「995,465」も開放すると、メールを見ることができました。
そもそも、わざわざなぜこんなことをしていたかと言いますと
「server」に少しでも負担をかけたく無かったためです。
また、ネットを閲覧する際のスピードが落ちてしまうのではないかと考えていました。
それで、このやり方は、設定上(ハードウェアの構成ではない)は
インターネット
|
--------------
| ルーター |
--------------
|
---------------------------------
| |
------------------ ------------------
| XPクライアント | | サーバ |
------------------ ------------------
という意味になっているかと考えていました。
2.セキュリティ向上の為にやろうとしたこと
「server」にDHCPサーバーを設定
割り振るIPアドレスは 192.168.0.「3」〜192.168.0.20
DHCPDの設定ファイルで「client」に割り振るローカルIPを固定
(「client(XP)の名前」「IP:192.168.0.3」「MACアドレス」を設定し、固定)
「client(XP)」では
TCP-IPの設定で
192.168.0.「3」 255.255.255.0 ネームサーバー192.168.0.「2」 ゲートウェイ192.168.0.「2」
を固定で設定してました。
これで運用すると、ネットの接続はできました。
それに対し、以下のように考えました。
「ルーター」から見ても「server」から見ても
「client」は「両方の内側」に存在している
なので、「client」で「pop3s」や「smtps」を利用して
「server」に届いたメールを「受信」しようとした場合、
>1.ルータで開放するべきポートは何番か?
25/TCP, 80/TCP, 443/TCP
>2.IPTABLESで開放すべきポートは何番か?
25/TCP, 53/UDP, 80/TCP, 443/TCP
で教えて頂いた設定でOKとなる。
それで、このやり方は、設定上(ハードウェアの構成ではない)は
インターネット
|
--------------
| ルーター |
--------------
|
------------------
| サーバ |
------------------
|
------------------
| XPクライアント |
------------------
のようになっていると解釈していました。
・・・・ところが、この設定ですと以下の問題が発生しました。
その1)ネット閲覧のスピードがかなり遅くなる
その2)クライアントPCからバーチャルドメインで設定したWWWを見るとエラーになる。
この部分がまったく意味不明だったので、
「1.今まで運用してきた方法」に戻し、
「iptables と ルーター両方を
465 と 995 を開放しました。」
で設定してしまいました。
長文になってしまいました。
重ねてご丁寧なご対応を頂いていることを感謝申し上げます。
|
| Page:
[1]
[2]
[3]
[4]
[5]
[6]
|
■ その他