 Re: ポートの開放の考え方が分かりません ( No.1 ) |
 |
- ????????? 2006/03/17 13:58
- ????????? stratix
-
houseさん、こんにちわ。
>(私が混乱していること)
>その1)(多分これはあっている)
>
>HTTPについては、外部でHTTPとHTTPSを利用したいので、
>ルータもIPTABLESも 80,443の両方を開放するのか・・・
それでいいと思います。
>その2)(あまり自身が無い)
>
>例えば、BINDは内側のやりとりなので、外部に対し、ルーターやIPTABLESのポートを開放する
>必要がないのか・・・
>内側といっても、ルータやIPTABLESのポートを開放する必要があるのか・・・
BINDを内部の名前解決とフォワーダ(自分が解決できない名前の情報を、別のDNSサーバに転送して問い合わせる)
として使っている場合、フォワーダの機能を使うためにはルータもiptablesも、port 53/UDPを開ける必要があります。
ただし最近のルータなら特に設定しなくても、宛先ポート53/UDPの通信が発生した場合、コネクショントラッキング
(正確にはUDPなのでコネクションレスですが)によってNATテーブルに登録され、DNSの応答パケットはその送信元の
ノードに転送されるはずです。
>同様に、MYSQLはブラウザを閲覧すると、ブラウザ側からMYSQLにアクセスするので
>ルータはポートを開放しなくてよくて
>更にIPTABLESもポートを開放しなくてよいのか・・・
LANの内部からの通信をすべて許可するようにiptablesで設定しているのであれば、
上記でいいと思います。
>メールにてついては
>外部へのメールや外部からのメールは25と110番を利用して送受信されるので
>ルーターは 25 と 110 だけ開放し、
>実際届いたメールを閲覧する際には
>ルーターの内側でpop3SとSMTPSを利用し暗号をかけてXPクライアントマシンを利用
>しているので、IPTABLESは 25,110,995,465の全てを開放する必要があるのか・・・
メールサーバ同士のやり取りにはport 25しか使わず、外部からメールを読み出す必要は無いようなので、
ルータのport 110は閉じてかまいません。
>SSH2については、
>ルーターの内側だけでpoderosaとWINSCPを利用し、FTPは一切利用していないので
>ルーターは何も開放せず、IPTABLESだけ 22 を開放するのか・・・
外部からSSHで接続しないということなので、これも上記でいいと思います。
まとめると
>1.ルータで開放するべきポートは何番か?
25/TCP, 80/TCP, 443/TCP
>2.IPTABLESで開放すべきポートは何番か?
25/TCP, 53/UDP, 80/TCP, 443/TCP
ただし2のほうは、
・サーバから開始される外部向け通信はすべて許可
例)# iptables -A OUTPUT -p ALL -s 192.168.0.2 -j ACCEPT
(サーバのIPが192.168.0.2と仮定した場合)
・LAN内からサーバへの通信はすべて許可
例)# iptables -A INPUT -p ALL -s 192.168.0.0/24 -j ACCEPT
・既に接続が確立している通信は許可
例)# iptables -A INPUT -p ALL -m state --state ESTABLISHED -j ACCEPT
という条件下での設定です。
また「既に接続が確立している通信は許可」の条件にRELATEDを加えると、53/UDPも開けなくて大丈夫です。
例)# iptables -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT
|
| Re: ポートの開放の考え方が分かりません ( No.2 ) |
|
- ????????? 2006/03/17 15:08
- ????????? house
<info@shiawase-home.com>
- ?????§??? http://www.shiawase-home.com
-
大変丁寧に有り難うごじます。
ちなみ クライアントの位置として
ptables の内側、というのは
サーバーからDHCPで取得しているか
サーバーの設定で固定したIPをクライアントが設定している場合のことなのですね。
(知らなかった)
今まで、
1.サーバーにストレスを与えたくなかった
2.クライアントPCのインターネット回線スピードを遅くしたくなかった、
という理由でクライアントPCの設定を以下のようにしていました。
サーバーのDHCPを設定はしていましたがそれを利用せず
固定のローカルドメインを直接クライアントPCに設定し、
直接ルーターをデフォルトゲートウェイとして
接続していました。
この設定ですと、iptablesにはじかれるので
クライアントPCも
リナックスサーバーからDHCPでIPを取得するようにしたところ
うまくいきました。
色々と条件により変わってくるのですね。
いつも勉強になります。
どうも有り難うございました。
|
| Re: ポートの開放の考え方が分かりません ( No.3 ) |
|
- ????????? 2006/03/17 15:47
- ????????? house
<info@shiawase-home.com>
- ?????§??? http://www.shiawase-home.com
-
問題が発生しました。
上記のように
クライアントPCをリナックスサーバーからIPを発行してもらうと
(MACアドレスを元に、固定IPとして)
1.ネット閲覧のスピードがかなり遅くなる
2.クライアントPCからバーチャルドメインを見るとエラーになる。
なのでクライアントPCをリナックスサーバーに接続せずに
直接ルーターに接続しました。
結果、リナックスサーバーの外側になってしまった為、
iptables と ルーター両方を
465 と 995 を開放しました。
この設定がおかしかったら
コメントをいただければ幸いです。
|
| Re: ポートの開放の考え方が分かりません ( No.4 ) |
|
- ????????? 2006/03/17 16:49
- ????????? stratix
-
houseさん
>ちなみ クライアントの位置として
>ptables の内側、というのは
>サーバーからDHCPで取得しているか
>サーバーの設定で固定したIPをクライアントが設定している場合のことなのですね。
>(知らなかった)
上の記述なんですが、なにか思い違いをされていませんか?
どういった意味でおっしゃっているのか、ちょっとわからないのです。
私の書き込みで上記のように理解した、ということでしょうか?
>なのでクライアントPCをリナックスサーバーに接続せずに
>直接ルーターに接続しました。
これなんですが、最初の投稿の図は、簡潔に書き直すと以下のようになっていると解釈
していたのですが、違うのでしょうか?
インターネット
|
--------------
| ルーター |
--------------
|
---------------------------------
| |
------------------ ------------------
| XPクライアント | | サーバ |
------------------ ------------------
それとも
>リナックスサーバーに接続
ということは、以下のようになっていた、ということでしょうか?
インターネット
|
--------------
| ルーター |
--------------
|
------------------
| サーバ |
------------------
|
------------------
| XPクライアント |
------------------
正確なネットワーク構成、ルータのLAN側・XPクライアント・サーバの各IPアドレスや
iptablesの設定などがわかればもう少しコメントできるかと思うのですが…
|
| Re: ポートの開放の考え方が分かりません ( No.5 ) |
|
- ????????? 2006/03/17 18:03
- ????????? house
-
勘違いをしている部分があるかもしれません。
いろいろと丁寧にありがとうございます。
具体的に記載させて頂きます。
ハードの構成としては、
インターネット
|
--------------
| ルーター |
--------------
|
---------------------------------
| |
------------------ ------------------
| XPクライアント | | サーバ |
------------------ ------------------
です。以下に詳しく記載します。
*****************
現在のハード的な構成は
yahooのADSL---MODEM---ROUTER--------server(LINUX)192.168.0.2
192.168.0.1 (www,mail等のメインサーバ)
(DHCP機能はOFF) (DNSサーバー/ネームサーバー)
| (DHCPサーバー)
| (Pstfix-Dovecot)
| (バーチャルドメイン設定)
| (バーチャルドメインのメールも運用)
|
----------client(XP)192.168.0.3
使用ソフト(poderosa)
(WINSCP)
通常のネット閲覧はこのマシンで行います。
serverの操作は90%これで行います。
※ iptablesは内側からのアクセスを全て許可する、にしています。(多分)
# 自ホストからのアクセスをすべて許可
iptables -A INPUT -i lo -j ACCEPT
# 内部からのアクセスをすべて許可・・・(この「内部」という解釈が今ひとつだったりします)
iptables -A INPUT -s $LOCALNET -j ACCEPT
# 内部から行ったアクセスに対する外部からの返答アクセスを許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
1.今まで運用してきた方法としては
「server」にDHCPサーバーを設定
割り振るIPアドレスは 192.168.0.「5」〜192.168.0.20
「client(XP)」では
192.168.0.「3」 255.255.255.0 ネームサーバー192.168.0.「1」 ゲートウェイ192.168.0.「1」
を設定してました。
実質「server」のDHCP機能は使ってないのかもしれませんが(正しいですか?)
後で他のPCを接続(2番目のBINDとして等)する時のために設定はしておいて準備していました。
上記に対して、現在の設定(勘違い?)では、
「ルーター」から見れば「server」と「client」は「ルーターの内側」に存在している
「server 」から見れば「client」は、「server」の外側に存在する。
なので、「client」で「pop3s」や「smtps」を利用して
「server」に届いたメールを「受信」しようとした場合、
「iptables」のポート「995,465」を許可する必要がある。
「ルーターは開放しなくてもよい」
(問題)ただ、なぜか分かりませんが、ルーターのポート「995,465」も開放しないと
外部から「server」に届いたメールを
メールソフト「Becky!2」で見ることができていません。
iptablesではじかれているようでした。
ルーターのポート「995,465」も開放すると、メールを見ることができました。
そもそも、わざわざなぜこんなことをしていたかと言いますと
「server」に少しでも負担をかけたく無かったためです。
また、ネットを閲覧する際のスピードが落ちてしまうのではないかと考えていました。
それで、このやり方は、設定上(ハードウェアの構成ではない)は
インターネット
|
--------------
| ルーター |
--------------
|
---------------------------------
| |
------------------ ------------------
| XPクライアント | | サーバ |
------------------ ------------------
という意味になっているかと考えていました。
2.セキュリティ向上の為にやろうとしたこと
「server」にDHCPサーバーを設定
割り振るIPアドレスは 192.168.0.「3」〜192.168.0.20
DHCPDの設定ファイルで「client」に割り振るローカルIPを固定
(「client(XP)の名前」「IP:192.168.0.3」「MACアドレス」を設定し、固定)
「client(XP)」では
TCP-IPの設定で
192.168.0.「3」 255.255.255.0 ネームサーバー192.168.0.「2」 ゲートウェイ192.168.0.「2」
を固定で設定してました。
これで運用すると、ネットの接続はできました。
それに対し、以下のように考えました。
「ルーター」から見ても「server」から見ても
「client」は「両方の内側」に存在している
なので、「client」で「pop3s」や「smtps」を利用して
「server」に届いたメールを「受信」しようとした場合、
>1.ルータで開放するべきポートは何番か?
25/TCP, 80/TCP, 443/TCP
>2.IPTABLESで開放すべきポートは何番か?
25/TCP, 53/UDP, 80/TCP, 443/TCP
で教えて頂いた設定でOKとなる。
それで、このやり方は、設定上(ハードウェアの構成ではない)は
インターネット
|
--------------
| ルーター |
--------------
|
------------------
| サーバ |
------------------
|
------------------
| XPクライアント |
------------------
のようになっていると解釈していました。
・・・・ところが、この設定ですと以下の問題が発生しました。
その1)ネット閲覧のスピードがかなり遅くなる
その2)クライアントPCからバーチャルドメインで設定したWWWを見るとエラーになる。
この部分がまったく意味不明だったので、
「1.今まで運用してきた方法」に戻し、
「iptables と ルーター両方を
465 と 995 を開放しました。」
で設定してしまいました。
長文になってしまいました。
重ねてご丁寧なご対応を頂いていることを感謝申し上げます。
|
| Re: ポートの開放の考え方が分かりません ( No.6 ) |
|
- ????????? 2006/03/17 19:05
- ????????? house
-
補足です)
念のためサーバーのハード的な状態を記載します。
server マシンのスペックは
CPU P3-866
マザー 815E
メモリ 512M
HD 250G*2-RAID1(HDが壊れたついでに1万円程度だったので)DMA-ON
現在のサーバー稼動状態は下記程度です。
http://www.shiawase-home.com/mrtg/
この程度で、XPでネットを閲覧する際に
「SERVER」を経由しただけで
それほどスピードが落ちるものなのか・・・というのも疑問ですが・・・
|
| Re: ポートの開放の考え方が分かりません ( No.7 ) |
|
- ????????? 2006/03/17 19:29
- ????????? stratix
-
houseさん
なるほど。やはりいくつか思い違いをされているようです。
># 内部からのアクセスをすべて許可・・・(この「内部」という解釈が今ひとつだったりします)
>iptables -A INPUT -s $LOCALNET -j ACCEPT
ここでいう「内部」というのは、ROUTERを境界としたLAN側のことをいいます。
つまり上記の構成ですと、
>ROUTER 192.168.0.1
>server(LINUX)192.168.0.2
>client(XP)192.168.0.3
これらはすべてネットワークアドレス部(192.168.0.)が同じなので、同じ内部ネットワークに属します。
>1.今まで運用してきた方法としては
>
>「server」にDHCPサーバーを設定
> 割り振るIPアドレスは 192.168.0.「5」〜192.168.0.20
>「client(XP)」では
> 192.168.0.「3」 255.255.255.0 ネームサーバー192.168.0.「1」 ゲートウェイ192.168.0.「1」
> を設定してました。
> 実質「server」のDHCP機能は使ってないのかもしれませんが(正しいですか?)
「client(XP)」では、上記のIPアドレス、サブネットマスク、DNSサーバ、ゲートウェイ設定を手動で設定された
ということですね?「IPアドレスを自動的に取得する」ではなく…
であれば、「server」のDHCP機能は使ってないですね。
>「ルーター」から見れば「server」と「client」は「ルーターの内側」に存在している
これは正しいです。
>「server 」から見れば「client」は、「server」の外側に存在する。
これも正しいです。
>なので、「client」で「pop3s」や「smtps」を利用して
>「server」に届いたメールを「受信」しようとした場合、
>「iptables」のポート「995,465」を許可する必要がある。
これは半分正しいです。しかし今回の場合は必要ないはずです。なぜなら
># 内部からのアクセスをすべて許可・・・(この「内部」という解釈が今ひとつだったりします)
>iptables -A INPUT -s $LOCALNET -j ACCEPT
この設定をしているからです。
>(問題)ただ、なぜか分かりませんが、ルーターのポート「995,465」も開放しないと
> 外部から「server」に届いたメールを
> メールソフト「Becky!2」で見ることができていません。
> iptablesではじかれているようでした。
> ルーターのポート「995,465」も開放すると、メールを見ることができました。
ここなんですが、
『「server」に届いたメール』が外部(つまりインターネット側)から読み出せないのか、
『外部から「server」に届いたメール』が読み出せないのか、
はっきりしないんですが、前者であったのならポートを閉じているので当然のことと思います。
>2.セキュリティ向上の為にやろうとしたこと
>
>「server」にDHCPサーバーを設定
> 割り振るIPアドレスは 192.168.0.「3」〜192.168.0.20
> DHCPDの設定ファイルで「client」に割り振るローカルIPを固定
> (「client(XP)の名前」「IP:192.168.0.3」「MACアドレス」を設定し、固定)
>
>「client(XP)」では
> TCP-IPの設定で
> 192.168.0.「3」 255.255.255.0 ネームサーバー192.168.0.「2」 ゲートウェイ192.168.0.「2」
> を固定で設定してました。
クライアントで固定で設定しているのなら、DHCPサーバの設定はまったく必要の無いものです。
また、上記の構成ですと、ゲートウェイは192.168.0.1(ルータのLAN側アドレス)になります。
それと「server」のゲートウェイや参照するDNSサーバの設定がどうなっているかも気になるところです。
> 「ルーター」から見ても「server」から見ても
> 「client」は「両方の内側」に存在している
> なので、「client」で「pop3s」や「smtps」を利用して
> 「server」に届いたメールを「受信」しようとした場合、
ちょっと違うような気がします。
「server」から見た「client」は、確かに同一のネットワークに所属してますが、
「内側」とかではなく、むしろ「同列」です。
ですから、以下の認識は誤りということになります。
> インターネット
> |
> --------------
> | ルーター |
> --------------
> |
> ------------------
> | サーバ |
> ------------------
> |
> ------------------
> | XPクライアント |
> ------------------
>その1)ネット閲覧のスピードがかなり遅くなる
>その2)クライアントPCからバーチャルドメインで設定したWWWを見るとエラーになる。
この問題は両方ともBINDなどの設定ミスのような気がします。
構成を変更する前は、名前解決をルータにさせていたようですので。
named.confやゾーンファイルをさらす、"iptables -L"の結果をさらすなどしてみると回答が
得られるかも知れませんね(←超他力本願)。
私ですか?ちょっと立て込んできたので、レスが遅れるかもしれません(^_^;
|
| Re: ポートの開放の考え方が分かりません ( No.8 ) |
|
- ????????? 2006/03/17 19:33
- ????????? stratix
-
houseさん
書き込んだあとで補足に気づきました^^;
>この程度で、XPでネットを閲覧する際に
>「SERVER」を経由しただけで
>それほどスピードが落ちるものなのか・・・というのも疑問ですが・・・
そもそも「SERVER」を経由する必要はありません。
No.7の返信でも書きましたが、「client」のデフォルトゲートウェイは
192.168.0.1(ルータのLAN側アドレス)に設定してください。
|
| Re: ポートの開放の考え方が分かりません ( No.9 ) |
|
- ????????? 2006/03/17 20:33
- ????????? house
<info@shiawase-home.com>
- ?????§??? http://www.shiawase-home.com
-
有り難うございます。
> 『「server」に届いたメール』が外部(つまりインターネット側)から読み出せないのか、
> 『外部から「server」に届いたメール』が読み出せないのか、
については、
『外部から「server」に届いたメール』が「client」PCで見ることが出来ないです。
おかしな状況と思います。
***********
多分、言われるように、ネームサーバーの設定関係が原因と思います。
なんとなく、原因が分かってきたような気がします。
1.今までに設定してきた設定で
iptables にて「pop3s」と「smtps」のポート・・・開放しない
ルーター 「pop3s」と「smtps」のポート・・・開放
とすると、メールは受信することが出来ますが、
ルーター 「pop3s」と「smtps」のポート・・・開放しない
とメール受信がエラーになります。
(仮定)
内部のネームサーバー設定がおかしい為に、
内部でドメインを入力しても
内部での解決が出来ない為に
ドメインを取得した「バリュードメイン」に問い合わせに行っており、
そこから私のパソコンにアクセスしている。
なので、ルーター側でポートを空けないとエラーになる
(検証)
ルーターのポート80・・・開放しない
この状態(内部)でメインのドメインを入力
結果)ルーターの設定画面が表示された。
この状態(内部)でバーチャルのドメインを入力
結果)ルーターの設定画面が表示された。
ということは、私の内部のドメインにアクセスできていない、
名前解決が出来ていない、ということだと思います。
ということは)
clientPC(XP)のローカルIPを
serverから取得させると、
上記の状態と同じようになり、
メインのドメインは表示されても
バーチャルドメインが表示されない。
ということになっているのだと考えます。
*****
問題のネームサーバーですが、
まずはもう一度
管理人さんがドメインを取得したときの内容と
以前「もちお」さんがバーチャルドメインについて質問されていた項目を
再度熟読し、何度か試してみてから投稿したいと思います。
*****
これをご覧の皆様、是非ともご支援をお願い致します。
|
| Re: ポートの開放の考え方が分かりません ( No.10 ) |
|
- ????????? 2006/03/18 00:29
- ????????? stratix
-
>> 『「server」に届いたメール』が外部(つまりインターネット側)から読み出せないのか、
>> 『外部から「server」に届いたメール』が読み出せないのか、
>
>については、
>『外部から「server」に届いたメール』が「client」PCで見ることが出来ないです。
>おかしな状況と思います。
ふむふむ、なるほど。
この場合、ドメイン名ではなくサーバのIPアドレスを直接指定した場合はどうなりますか?
もしそれでメールを見ることが出来たのなら、名前解決に原因があるといえるでしょう。
いろいろと試す前に、まずは問題の切り分けをすることが肝心ですね。
|
| Re: ポートの開放の考え方が分かりません ( No.11 ) |
|
- ????????? 2006/03/18 04:38
- ????????? house
<info@shiawase-home.com>
- ?????§??? http://www.shiawase-home.com
-
SSL接続をしている為、
IPでアクセスが出来ないのですが、
BINDが有効かどうかを調べるサイトがり、
やはりBINDに問題があったようです。
http://www.dnsreport.com/
バーチャルドメインの設定をした際に
どこかにミスがあったようです。
現在、原因を探していますが、
BINDのろこに問題があったのか理由は分かっていません。
ちなみに
[root@server named]# nslookup
> 192.168.0.2
Server: 192.168.0.2
Address: 192.168.0.2#53
2.0.168.192.in-addr.arpa name = shiawase-home.com.
> shiawase-home.com
Server: 192.168.0.2
Address: 192.168.0.2#53
** server can't find shiawase-home.com: SERVFAIL
と表示されます。
※ nslookupはXPからpoderosaを使用してかけましたので、
サーバーで直接操作した形になっていると思います。
グーグル検索をかけると、同様のエラーで悩む方もいるようです。
多分、単純ミスのような気もするのですが・・・
|
| Re: ポートの開放の考え方が分かりません ( No.12 ) |
|
- ????????? 2006/03/18 17:29
- ????????? house
<info@shiawase-home.com>
- ?????§??? http://www.shiawase-home.com
-
どうしても原因がわからないので、
どうぞ皆さん、お力を貸してください。
極力分かりやすく、状況を記載させて頂きます。
よろしくお願い申し上げます。
参考情報)
[root@server named]# dig
; <<>> DiG 9.2.4 <<>>
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56058
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 1
;; QUESTION SECTION:
;. IN NS
;; ANSWER SECTION:
. 516951 IN NS H.ROOT-SERVERS.NET.
. 516951 IN NS I.ROOT-SERVERS.NET.
. 516951 IN NS J.ROOT-SERVERS.NET.
. 516951 IN NS K.ROOT-SERVERS.NET.
. 516951 IN NS L.ROOT-SERVERS.NET.
. 516951 IN NS M.ROOT-SERVERS.NET.
. 516951 IN NS A.ROOT-SERVERS.NET.
. 516951 IN NS B.ROOT-SERVERS.NET.
. 516951 IN NS C.ROOT-SERVERS.NET.
. 516951 IN NS D.ROOT-SERVERS.NET.
. 516951 IN NS E.ROOT-SERVERS.NET.
. 516951 IN NS F.ROOT-SERVERS.NET.
. 516951 IN NS G.ROOT-SERVERS.NET.
;; ADDITIONAL SECTION:
J.ROOT-SERVERS.NET. 603351 IN A 192.58.128.30
;; Query time: 62 msec
;; SERVER: 192.168.0.2#53(192.168.0.2)
;; WHEN: Sat Mar 18 03:44:07 2006
;; MSG SIZE rcvd: 244
*****************************************************
(クライアントXPでのコマンドプロンプト)
C:\Documents and Settings\xpuser>ipconfig /all
Windows IP Configuration
Host Name . . . . . . . . . . . . : xp
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : shiawase-home.com
Ethernet adapter ローカル エリア接続 3:
Connection-specific DNS Suffix . : shiawase-home.com
Description . . . . . . . . . . . : Realtek RTL**** Family PCI Fast Ethe
rnet NIC #2
Physical Address. . . . . . . . . : **-**-**-**-**-**
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 192.168.0.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.1
DHCP Server . . . . . . . . . . . : 192.168.0.2
DNS Servers . . . . . . . . . . . : 192.168.0.2
Lease Obtained. . . . . . . . . . : 2006年3月18日 1:04:04
Lease Expires . . . . . . . . . . : 2006年3月18日 7:04:04
**************************
nslookupをかけて
shiawase-home.comを入力し、エラーが表示された際のログです。
/var/log/messages
Mar 18 03:56:44 server named[5252]: loading configuration from '/etc/named.conf'
Mar 18 03:56:44 server named[5252]: listening on IPv4 interface lo, 127.0.0.1#53
Mar 18 03:56:44 server named[5252]: listening on IPv4 interface eth0, 192.168.0.2#53
Mar 18 03:56:44 server named[5252]: zone 'shiawase-home.com' allows updates by IP address, which is insecure
Mar 18 03:56:44 server named[5252]: zone '0.168.192.in-addr.arpa' allows updates by IP address, which is insecure
Mar 18 03:56:44 server named[5252]: command channel listening on 127.0.0.1#953
Mar 18 03:56:44 server named[5252]: zone 0.in-addr.arpa/IN: loaded serial 42
Mar 18 03:56:44 server named[5252]: zone 0.0.127.in-addr.arpa/IN: loaded serial 1997022700
Mar 18 03:56:44 server named[5252]: zone 0.168.192.in-addr.arpa/IN: loaded serial 2006010834
Mar 18 03:56:44 server named[5252]: zone 255.in-addr.arpa/IN: loaded serial 42
Mar 18 03:56:44 server named[5252]: zone 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 1997022700
Mar 18 03:56:44 server named[5252]: zone shiawase-home.com/IN: journal rollforward failed: not exact
Mar 18 03:56:44 server named[5252]: zone localdomain/IN: loaded serial 42
Mar 18 03:56:44 server named[5252]: zone localhost/IN: loaded serial 42
Mar 18 03:56:44 server named[5252]: running
|
| Re: ポートの開放の考え方が分かりません ( No.13 ) |
|
?????? ?????????????????£???????????????????????? |
| /etc/named.conf ( No.14 ) |
|
- ????????? 2006/03/18 06:07
- ????????? house
<info@shiawase-home.com>
- ?????§??? http://www.shiawase-home.com
-
options {
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
/*
* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND 8.1 uses an unprivileged
* port by default.
*/
// query-source address * port 53;
// bindを使用する範囲を指定
allow-query{
127.0.0.0;
192.168.0.0/24;
};
};
controls {
inet 127.0.0.1 allow { localhost; } keys { rndckey; };
};
zone "." IN {
type hint;
file "named.ca";
};
zone "localdomain" IN {
type master;
file "localdomain.zone";
allow-update { none; };
};
zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};
zone "0.0.127.in-addr.arpa" IN {
type master;
file "named.local";
allow-update { none; };
};
zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "named.ip6.local";
allow-update { none; };
};
zone "255.in-addr.arpa" IN {
type master;
file "named.broadcast";
allow-update { none; };
};
zone "0.in-addr.arpa" IN {
type master;
file "named.zero";
allow-update { none; };
};
include "/etc/rndc.key";
zone "shiawase-home.com" {
type master;
file "shiawase-home.com.db";
allow-update { 192.168.0.2; };
};
zone "2banme.com" {
type master;
file "2banme.com.db";
allow-update { 192.168.0.2; };
};
zone "0.168.192.in-addr.arpa" {
type master;
file "0.168.192.in-addr.arpa.db";
allow-update { 192.168.0.2; };
};
|
| 設定ファイル ( No.15 ) |
|
- ????????? 2006/03/18 12:28
- ????????? house
<info@shiawase-home.com>
- ?????§??? http://www.shiawase-home.com
-
/var/named/shiawase-home.com.db
$TTL 86400 ; 1 day
@ IN SOA shiawase-home.com. root.shiawase-home.com. (
2006010850 ; serial
7200 ; refresh (1 hour)
3600 ; retry (15 minutes)
604800 ; expire (1 week)
86400 ; minimum (1 day)
)
NS shiawase-home.com.
MX 10 shiawase-home.com.
A 192.168.0.2
www CNAME shiawase-home.com.
server CNAME shiawase-home.com.
***********************************************
/var/named/2banme.com.db
$TTL 86400
@ IN SOA 2banme.com. root.2banme.com. (
2006010700 ; serial
7200 ; refresh (1 hour)
3600 ; retry (15 minutes)
604800 ; expire (1 week)
86400 ; minimum TTL (1 day)
)
NS 2banme.com.
MX 10 2banme.com.
A 192.168.0.2
www CNAME 2banme.com.
server CNAME 2banme.com.
*************************************************
/var/named/0.168.192.in-addr.arpa.db
$TTL 86400 ; 1 day
@ IN SOA shiawase-home.com. root.shiawase-home.com. (
2006010834 ; serial
7200 ; refresh (1 hour)
3600 ; retry (15 minutes)
604800 ; expire (1 week)
86400 ; minimum TTL (1 day)
)
NS shiawase-home.com.
MX 10 shiawase-home.com.
2 PTR shiawase-home.com.
*******************************
/etc/sysconfig/network
NETWORKING=yes
HOSTNAME=server.shiawase-home.com
GATEWAY=192.168.0.1
**********************************
/etc/resolv.conf
search shiawase-home.com
nameserver 192.168.0.2
***********************************
/etc/nsswitch.conf
一部
#hosts: db files ldap nis dns
#hosts: files nisplus nis dns
#hosts: files nisplus nis dns
hosts: files dns
|
| Re: ポートの開放の考え方が分かりません ( No.16 ) |
|
- ????????? 2006/03/18 07:35
- ????????? 管理者
-
横スレ、失礼致します。
正引きゾーンファイル「shiawase-home.com.db」ですが、前詰め(スペースまたはタブがなくなっている)されていますけど、実際はどうなっていますか?
この場合正しくbindが読み込めず名前解決できなくなってしまいます。
|
| Re: ポートの開放の考え方が分かりません ( No.17 ) |
|
- ????????? 2006/03/18 11:51
- ????????? house
-
いつもありがとうございます。
実際の見た目は以下のようになっています。
$TTL 86400 ; 1 day
@ IN SOA shiawase-home.com. root.shiawase-home.com. (
2006010850 ; serial
7200 ; refresh (1 hour)
3600 ; retry (15 minutes)
604800 ; expire (1 week)
86400 ; minimum (1 day)
) 左のかっこだけはもうすこし左です。
NS shiawase-home.com.
MX 10 shiawase-home.com.
A 192.168.0.2
www CNAME shiawase-home.com.
server CNAME shiawase-home.com.
TABを利用していましたが
掲示板にコピーペーストするとなんかおかしくなるので
オリジナルのほうも、TABを半角スペースで修正しました。
ちなみに実際の設定では
TABでも半角スペースでも
どちらでも問題ないですよね。
******************
みなさんも同じような道を私の100倍くらい経験しているのかもしれませんが、
1つうまくいかないごとに
ものすごく時間がかかり、
そして何よりも
・・・・悲しい
|
| Re: ポートの開放の考え方が分かりません ( No.18 ) |
|
- ????????? 2006/03/18 13:34
- ????????? 管理者
-
問題ありそうもないですね。
> TABを利用していましたが
> 掲示板にコピーペーストするとなんかおかしくなるので
> オリジナルのほうも、TABを半角スペースで修正しました。
>
> ちなみに実際の設定では
> TABでも半角スペースでも
> どちらでも問題ないですよね。
スペースでもTABでも問題ありません。どちらかと言うとTABの方が良いかもしれません。
zone "2banme.com"も指定しているにも関わらず、bindのログに読み込まれた形跡がありませんね。
chrootが機能していませんか?
?「/etc/sysconfig/named」の内容を教えてください。
?上記以外に「/etc/hosts」もお願い致します。
?「# ls -l /var/named/」を教えてください。
?「# ps -ef | grep named」もお願い致します
|
| Re: ポートの開放の考え方が分かりません ( No.19 ) |
|
- ????????? 2006/03/18 13:59
- ????????? house
<info@shiawase-home.com>
- ?????§??? http://www.shiawase-home.com
-
ありがとうございます。
本当なら、別のスレッドの方が良かったですね。
後で解決したらまとめのスレッドを立てさせていただきます。
(ちょっと時間がかかるかもしれませんが)
1歩前進・1歩後退がありましたので、
まずそれを報告させて頂きます。
今まではメインのドメイン、バーチャルドメインを外部から見ることは出来ました。
ところが
今回の見直し・修正を行っている最中に、
メインドメインも バーチャルドメインも外部からも内部からも
そもそも見ることが出来ない状況になっていました。
(間抜けです)
どちらも、内部のBINDが駄目な状態でした。
現在は、とりあえず、メインのドメイン(shiawase-home.com)
については外部からも内部からも見ることが出来るようになったと思います。
ただし、バーチャルドメインが駄目な状態です。
*********************
XPマシンからPODEROSAでの作業
[root@server named]# nslookup
> 192.168.0.2
Server: 192.168.0.2
Address: 192.168.0.2#53
2.0.168.192.in-addr.arpa name = shiawase-home.com.
> shiawase-home.com
Server: 192.168.0.2
Address: 192.168.0.2#53
Name: shiawase-home.com
Address: 192.168.0.2
> 2banme.com
Server: 192.168.0.2
Address: 192.168.0.2#53
** server can't find 2banme.com: SERVFAIL
*********************************************
行ったこと
以前のバックアップファイル(shiawase-home.com.db などの*.dbファイル)を利用してみた
そのファイルの内容は以下です。
$ORIGIN .
$TTL 86400 ; 1 day
shiawase-home.com IN SOA shiawase-home.com. root.shiawase-home.com. (
2006010844 ; serial
3600 ; refresh (1 hour)
900 ; retry (15 minutes)
604800 ; expire (1 week)
86400 ; minimum (1 day)
)
NS shiawase-home.com.
A 192.168.0.2
MX 10 shiawase-home.com.
$ORIGIN shiawase-home.com.
www CNAME shiawase-home.com.
なぜか、$ORIGIN というのが記載されていて気持ちが悪いので利用していませんでした。
バーチャルドメインの *.db は上記ファイルを書き換えれば問題が無いですよね?
勝手にそのように解釈し、バーチャルドメインを再度設定しても
やはりバーチャルは駄目です。
|
| Re: ポートの開放の考え方が分かりません ( No.20 ) |
|
- ????????? 2006/03/18 14:04
- ????????? 管理者
-
「$ORIGIN」行は、DHCPによるアドレスリリースが発生した為、書き換えられた行です。
むしろ、削除しましょう。
また「SOA」レコードも書き換えられてしまいます。
shiawase-home.com IN SOA shiawase-home.com. root.shiawase-home.com. (
↑
ここは「@」にしてください。上位から継承される名前部分になります。(これは別に書き換えなくても良いですが。)
|
| Re: ポートの開放の考え方が分かりません ( No.21 ) |
|
- ????????? 2006/03/18 14:25
- ????????? house
<info@shiawase-home.com>
- ?????§??? http://www.shiawase-home.com
-
それとご報告させて頂きます。
>chrootが機能していませんか?
bind-chroot ははずしてます。
設定がややこしくなりそうなので、
一度chroot-bind と bind をリムーブし
bindのみインストールしました。
設定が正式にうまくいったら
bind-chroot をインストールしようと考えています。
今回設定をしていて
ln -s *** *** でこれとあれがつながっていて、とか
訳分からなくなったのでそのようにしました。
>?「/etc/sysconfig/named」の内容を教えてください。
よくわからいのですが、コメントだけになっているようです。
# Currently, you can use the following options:
# ROOTDIR="/some/where" -- will run named in a chroot environment.
# you must set up the chroot environment before
# doing this.
# OPTIONS="whatever" -- These additional options will be passed to named
# at startup. Don't add -t here, use ROOTDIR instead.
>?上記以外に「/etc/hosts」もお願い致します。
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1 localhost.localdomain localhost
>?「# ls -l /var/named/」を教えてください。
-rw------- 1 named named 408 3月 11 07:58 0.168.192.in-addr.arpa.db
-rw-r--r-- 1 named root 3591 3月 11 07:43 0.168.192.in-addr.arpa.db.jnl
drwxr-xr-x 2 root root 4096 3月 18 13:44 backup
drwxrwx--- 5 named named 4096 2月 20 13:13 chroot
drwxrwx--- 2 named named 4096 2月 22 2005 data
-rw-r--r-- 1 named root 242 2月 8 21:08 db-XX4gn2W8
-rw-r--r-- 1 named named 198 2月 22 2005 localdomain.zone
-rw-r--r-- 1 named named 195 2月 22 2005 localhost.zone
-rw------- 1 named named 386 3月 18 14:29 2banme.com.db
-rw-r--r-- 1 named named 415 2月 22 2005 named.broadcast
-rw-r--r-- 1 named named 2517 1月 28 07:57 named.ca
-rw-r--r-- 1 named named 432 2月 22 2005 named.ip6.local
-rw-r--r-- 1 named named 433 2月 22 2005 named.local
-rw-r--r-- 1 named named 416 2月 22 2005 named.zero
-rw------- 1 named named 393 3月 18 14:08 shiawase-home.com.db
-rw-r--r-- 1 named root 5032 3月 11 07:43 shiawase-home.com.db.jnl
drwxrwx--- 2 named named 4096 2月 22 2005 slaves
実は named.* 関係のグループが全てrootだったので、namedに変更しました。
?「# ps -ef | grep named」もお願い致します
named 14877 1 0 14:29 ? 00:00:01 /usr/sbin/named -u named
root 14914 14597 0 14:37 pts/1 00:00:00 grep named
|
| Re: ポートの開放の考え方が分かりません ( No.22 ) |
|
- ????????? 2006/03/18 14:29
- ????????? 管理者
-
了解しました。
shiawase-home.com.db.jnl(拡張子が「jnl」)を削除してください。
ジャーナルファイルを全て削除した後、bindを再起動するとどうでしょうか?
|
| Re: ポートの開放の考え方が分かりません ( No.23 ) |
|
- ????????? 2006/03/18 14:37
- ????????? house
<info@shiawase-home.com>
- ?????§??? http://www.shiawase-home.com
-
もしかしたら解決したかもしれません。
先に状況を報告します。
以下XPクライアントマシンよりpoderosaで操作
[root@server sysconfig]# nslookup
> 192.168.0.2
Server: 192.168.0.2
Address: 192.168.0.2#53
2.0.168.192.in-addr.arpa name = shiawase-home.com.
> shiawase-home.com
Server: 192.168.0.2
Address: 192.168.0.2#53
Name: shiawase-home.com
Address: 192.168.0.2
> 2banme.com
Server: 192.168.0.2
Address: 192.168.0.2#53
Name: 2banme.com
Address: 192.168.0.2
>
**************************
ルーターのポート80を開放しない
http://www.shiawase-home.com/に接続・・・見ることが出来た・・・内部解決した?
http://www.2banmeバーチャルドメイン.com/に接続・・・見ることが出来た・・・内部解決した?
ルーターの開放を「25、80、443」のみ開放し、後は開放しない
(現在BINDは外部のセカンダリ?を利用していない・・・後に設定予定・・・なので、53クローズド)
メールベッキーをSSLでXPクライアントから接続し、
サーバーに届いたメールを見てみる・・・サーバーからXPクライアントに受信出来る
・・・わざわざ外部のバリュードメインに見に行っていない・・・内部が解決している?
とりあえず報告させて頂きます。
ちょっと頭の中を整理してまた記載させて頂きます。
|
| Re: ポートの開放の考え方が分かりません ( No.24 ) |
|
- ????????? 2006/03/18 15:20
- ????????? house
<info@shiawase-home.com>
- ?????§??? http://www.shiawase-home.com
-
今回のまとめ
前提条件)wwwサーバを公開。xoops利用の為にLAMP構成
個人情報等の入力の為に、httpsを利用する
メールサーバーのメールは外部と送受信している
ただし、サーバに届いたメールを見るのは、内部のクライアントPC(XP)のみ
バーチャルドメインを利用
目標 )セキュリティの高いサーバ運用の為、出来るだけルーターのポートを閉じたい
iptables(ファイアウォールを導入)し、やはり極力ポートを開かない
本来の答)
>1.ルータで開放するべきポートは何番か?
25/TCP(メール), 80/TCP(http), 443/TCP(https)
>2.IPTABLESで開放すべきポートは何番か?
25/TCP(メール), 80/TCP(http), 443/TCP(https)
内部からのアクセスは全て許可になっている為、外部に接続する必要のあるものだけ開く
外部のセカンダリネームサーバーを利用している場合、
更に 53/UDP(BIND)を開放する。
>宛先ポート53/UDPの通信が発生した場合、コネクショントラッキング
>(正確にはUDPなのでコネクションレスですが)によってNATテーブルに登録され、DNSの応答パケットはその送信元の
>ノードに転送されるはずです
問題発生)
1.メールサーバーにOpenSSL と mod SSL を導入すると、
ルーターで「995,465」を開放しないと、サーバーに届いたメールを
内部のクライアントPC(XP)から閲覧(受信)出来ない。
2.クライアントPC(XP)のネームサーバーをサーバーに設定すると、ネットの閲覧が以上に遅い
上記理由)内部のネームサーバーが解決出来ていなかった為に、
メールを送受信する際にわざわざ外部のネームサーバー
(バーチャルドメインにまで聞きに行かないとメールが閲覧出来ない)
・・・それではメールソフトの設定をローカルIPアドレスに出来ないのか?
メールサーバーにOpenSSL と mod SSL を導入している為に、ローカルIPでの接続が出来ない。
・・・ネームサーバーで混乱している為に、ネット閲覧スピードが遅くなっている。
・・・内部のネームサーバーを解決する必要がある。
ネームサーバがおかしくなっていた理由)(多分)
/var/named/の中の「named.*」のグループが「root」になっていた為に、「named」に変更
新たに設定した「shiawase-home.com.db」に不具合があった。
(これがどうしても理由が分かりません。バックアップファイルを利用したらOKになった)
当初、サーバーのIPを入力した名前解決でエラーになっていて、その際には、「*.db」ファイルのミスがありました。
結局2つのミスがあったようです。
**************
上記で全て解決できたようです。
皆さん、本当にどうも有り難うございました。
私も俺ではないですが、知っている情報は積極的に開示したいと思います。
今後ともよろしくお願い申し上げます。
|
| Re: ポートの開放の考え方が分かりません ( No.25 ) |
|
- ????????? 2006/03/18 16:39
- ????????? 管理者
-
バックアップ時にはどのようにバックアップされましたか?
そのままFTP等でバックアップした場合、改行コードがCR+LFになってしまう場合があります。
(本来はLFのみです。)
見た目は変わっていないのに起動できなくなってしまう場合があります。
バックアップ時には、オーナ、パーミッション等が同時に保存できるtarで行うことをお勧めします。
|
| Re: ポートの開放の考え方が分かりません ( No.26 ) |
|
- ????????? 2006/03/18 17:16
- ????????? house
-
なるほでですね。
いつも勉強になります。
バックアップは、こちらのサイトの
設定ファイルのバックアップを活用させて頂いておりまして
昨日か一昨日くらいのtarを解答して使いました。
また、yumでソフトをリムーブすると
*.rpmsave というファイルが残ります。
ここまでは良かったのですが、
同じようなchrootの階層なのに、
片方は元ファイル、片方はln -s で作られたファイルとなっていて
訳がわからなくなり、元ファイルを削除したりしてしまいました。
そこで、こちらのサイトで公開している
バックアップスクリプトで保存したデータの設定ファイルを利用できたので
非常に有難かったです。
ひそかに大量/etc とか /var とかも保存してます。
ただし、いちいちあの大量のtarを解答してそこから設定ファイルを探すのも面倒なので
本当にこちらのサイトのスクリプトは有難いです。
ちなみに、まれにWINSCPで設定ファイルをダウンロードしていじる場合もあります。
その場合には、設定した最後に
「すべてを選択」「コピー」として
それを「poderosa」画面を開いてから
元データをMV もしくは RM して
新規 VI をした後
「ペースト」をします。
ただ、あまりこういうことをやっていると
そのうち頭のなかがごちゃごちゃになる場合もあり、
そうしたことが問題です。
基本的にはCUIで利用しています。
しかし、沢山の設定ファイルを編集するときなどに
私の頭の中に「ツリー構造」が出来ません。
その場合、GUIのファイルマネージャーで確認しながら
「GNOME−エディタ」を使うこともあります。
ただ、GUIを多様すると、適当にファイルもコピーペースト出来るので
(クリックでと言う意味)
あまり考えないで作業してしまい、
ミスの発生の温床のような気がします。
CUIを利用しつつ、ツリー構造が
簡単にチェックできると便利ですよね。
まぁ、これがGUIでターミナルを利用すれば同じことなのだと思います。
ただなんとなく、GUIで大量の画面を開いていると
部屋が散らかっているような印象がします。
ついでに私の頭の中も混乱するような感じがして
あまり好きでないです。
マックなどパソコンが更にマルチタスク化していますが
私の頭がシングルタスク+α程度なので追いつきません。
余計なことまで書いてしまいまして、失礼しました。
|
| Re: ポートの開放の考え方が分かりません ( No.27 ) |
|
- ????????? 2006/03/18 19:22
- ????????? house
-
ちょっと思ったのですが、
仮に
>1.ルータで開放するべきポートは何番か?
25/TCP(メール), 80/TCP(http), 443/TCP(https)
>2.IPTABLESで開放すべきポートは何番か?
25/TCP(メール), 80/TCP(http), 443/TCP(https)
で運用を行った場合、
そもそも「iptables」を導入することに意味はありますか?
普通、80番はHTTPだけしか権限を持っていないと思うのですが、
例えば、不正なアクセスでHTTPではない何かによって(良くわかってません)
ルーターの80番が通過される可能性もあって、その場合、
そのままiptables も通過されるのでしょうか?
考え方として
ルーターの簡易ファイアーウォールを突破出来る技術というのは
そのまま
iptables を突破する技術と同じなのでしょうか?
それとも、ルーターのファイアーウォールであれこれ考えて突破した後に
iptablesでもあれこれ考えてくれる(ハッカーが面倒くさくなる)のでしょうか?
唐突な質問ですが、良かったらよろしくお願い致します。
|
| Re: ポートの開放の考え方が分かりません ( No.28 ) |
|
- ????????? 2006/03/18 20:36
- ????????? stratix
-
houseさん
まずは解決できたようでよかったですね。
>そもそも「iptables」を導入することに意味はありますか?
すでにルータの簡易ファイアウォールの内側にあるので、あまり意味はないかもしれません。
ただ、何らかの原因でルータのファイアウォールが機能しなくなった場合、例えば設定ミスとか
クラックされたとかいった場合には、意味があるのではないでしょうか。
>普通、80番はHTTPだけしか権限を持っていないと思うのですが、
>例えば、不正なアクセスでHTTPではない何かによって(良くわかってません)
>ルーターの80番が通過される可能性もあって、その場合、
>そのままiptables も通過されるのでしょうか?
そうです。そのまま通過します。
HTTPプロトコルではなくとも、ポート80宛ての通信であれば通過してしまいます。
なぜならiptablesというのは、TCP/IP層でパケットの判断をしているからです。
ようするにTCP/IPヘッダだけで判断してますので、中身のデータがどうなっているか
までは見ていません。
これをブロックしたければ、アプリケーションレイヤのファイアウォールが必要になるでしょう。
>考え方として
>ルーターの簡易ファイアーウォールを突破出来る技術というのは
>そのまま
>iptables を突破する技術と同じなのでしょうか?
iptablesのほうがより細かく設定ができますが、ほぼ同じと思っていいでしょう。
>iptablesでもあれこれ考えてくれる(ハッカーが面倒くさくなる)のでしょうか?
全然関係ないですが、ハッカーという言葉は本来の意味で使ってくださいね^^;
ここではクラッカーのほうが適当な言葉だと思います。
|
| Re: ポートの開放の考え方が分かりません ( No.29 ) |
|
- ????????? 2006/03/18 23:37
- ????????? house
-
丁寧にご回答頂きまして有り難うございました。
セキュリティも考え出すと
次から次と問題や技術があるのですね。
私も少しづつサーバーのセキュリティを高めてゆきたいと思います。
有り難うございました。
|
このスレッドはクローズされています。記事の閲覧のみとなります。
ポートの開放の考え方が分かりません