このスレッドはクローズされています。記事の閲覧のみとなります。
ポートの開放の考え方が分かりません |
|
- æ¥æï¼ 2006/03/17 02:22
- ååï¼ house
<info@shiawase-home.com>
- 参照: http://www.shiawase-home.com
- ①不明点・障害内容:ルーター・IPTABLESのポート開放について
②ログの有無 :なし (有:その内容): ③Distribution :CENT OS 4.2 Version: ④Service Name : Version: ⑤ネットワーク構成:以下に記載しました。
------------------ | XPクライアント |(サーバにはルータの内側でしか接続しない) ------------------ | ------------------ 〜〜〜〜〜〜 | ルーター |(ポート何番か?)----------- 外部に接続 ------------------ 22,80,25,110,443,53? 〜〜〜〜〜〜 | ------------------------------------------------------------------------------------- |内部BIND設定 | | |ドメイン取得(Value Domain) iptables(ポート何番か?)22,80,25,110 | |WWW公開 | 995,465,443, | |XOOPS利用の為MYSQL-PHP利用 TCP Wrapper(IPベース) 53,3306 | |メールは外部に送信・受信 (127.0.0.1) | |(メールを見るのはXP) (192.168.0.3) | | (192.168.0.2) | | | | | |-----------------------------------| | | SSL(証明書) | | | | | | | |--------------------|-----------| |---------|------ --|-----|****** | | | | | | | | | * | | xinetd(呼び出し) | | | | | | * | | | | | | | | | * | | SSH2(暗号・鍵) メールサーバ HTTPS HTTP メールサーバ DNS MySQL * | | (22) | (443) (80) | (53) (3306) * | | | *******|------| |------| * | | |--------| * | | | | FTP(利用しない)| | | | * | | pop3 SMTP * | |WINSCP poderosa imap4 pop3S SMTPS (110) (25) ******* | | (22) (22) (993) (995) (465) PASV (20)| | 使用しない (21) (21)| | (50000〜50030) | -------------------------------------------------------------------------------------
いつも大変お世話になっております。 現在、サーバーのセキュリティを高めています。 私の理解が足りない部分もありますが、 現在の私のサーバー構成は上のようになっていると自分では考えています。 (上の図でおかしなところがあればご指摘いただければ幸いです) (ポート等は後に変更すると思いますが・・・)
セキュリティ向上の為に出来るだけポートを防ごうと考えています。 その際に、「iptables」と「ルーター」のポートはどれを開放すればよいかが分からず 頭の中がぐちゃぐちゃになっています。
現在、外部に対して 「WWW」 「メール」(外部に送信・外部から受信) (ただし、メールを閲覧するのはルーターの内側のXPマシン) を提供しています。 XOOPSを利用しているので、MYSQL PHPを利用してます。
サーバーのデータ(WWW)等は私のデータだけです。 外部に対して、FTPやWWW場所貸しのサービスはしていません。 サーバのデータはルータの内側から「poderosa」「WIN SCP」を利用するか、 直接サーバーマシンを操作しています。
(質問内容は) 1.ルータで開放するべきポートは何番か? 2.IPTABLESで開放すべきポートは何番か? です。
(私が混乱していること) その1)(多分これはあっている)
HTTPについては、外部でHTTPとHTTPSを利用したいので、 ルータもIPTABLESも 80,443の両方を開放するのか・・・
その2)(あまり自身が無い)
例えば、BINDは内側のやりとりなので、外部に対し、ルーターやIPTABLESのポートを開放する 必要がないのか・・・ 内側といっても、ルータやIPTABLESのポートを開放する必要があるのか・・・
同様に、MYSQLはブラウザを閲覧すると、ブラウザ側からMYSQLにアクセスするので ルータはポートを開放しなくてよくて 更にIPTABLESもポートを開放しなくてよいのか・・・
メールにてついては 外部へのメールや外部からのメールは25と110番を利用して送受信されるので ルーターは 25 と 110 だけ開放し、 実際届いたメールを閲覧する際には ルーターの内側でpop3SとSMTPSを利用し暗号をかけてXPクライアントマシンを利用 しているので、IPTABLESは 25,110,995,465の全てを開放する必要があるのか・・・
SSH2については、 ルーターの内側だけでpoderosaとWINSCPを利用し、FTPは一切利用していないので ルーターは何も開放せず、IPTABLESだけ 22 を開放するのか・・・
と以上のような疑問を持っています。
大変長い質問になりますが、よろしくお願い申し上げます。
|
Page:
[1]
[2]
[3]
[4]
[5]
[6]
|
■ コンテンツ関連情報
Re: ポートの開放の考え方が分かりません ( No.26 ) |
|
- æ¥æï¼ 2006/03/18 17:16
- ååï¼ house
- なるほでですね。
いつも勉強になります。
バックアップは、こちらのサイトの 設定ファイルのバックアップを活用させて頂いておりまして 昨日か一昨日くらいのtarを解答して使いました。
また、yumでソフトをリムーブすると *.rpmsave というファイルが残ります。 ここまでは良かったのですが、 同じようなchrootの階層なのに、 片方は元ファイル、片方はln -s で作られたファイルとなっていて 訳がわからなくなり、元ファイルを削除したりしてしまいました。
そこで、こちらのサイトで公開している バックアップスクリプトで保存したデータの設定ファイルを利用できたので 非常に有難かったです。
ひそかに大量/etc とか /var とかも保存してます。 ただし、いちいちあの大量のtarを解答してそこから設定ファイルを探すのも面倒なので 本当にこちらのサイトのスクリプトは有難いです。
ちなみに、まれにWINSCPで設定ファイルをダウンロードしていじる場合もあります。 その場合には、設定した最後に 「すべてを選択」「コピー」として それを「poderosa」画面を開いてから 元データをMV もしくは RM して 新規 VI をした後 「ペースト」をします。
ただ、あまりこういうことをやっていると そのうち頭のなかがごちゃごちゃになる場合もあり、 そうしたことが問題です。
基本的にはCUIで利用しています。 しかし、沢山の設定ファイルを編集するときなどに 私の頭の中に「ツリー構造」が出来ません。 その場合、GUIのファイルマネージャーで確認しながら 「GNOME−エディタ」を使うこともあります。
ただ、GUIを多様すると、適当にファイルもコピーペースト出来るので (クリックでと言う意味) あまり考えないで作業してしまい、 ミスの発生の温床のような気がします。
CUIを利用しつつ、ツリー構造が 簡単にチェックできると便利ですよね。
まぁ、これがGUIでターミナルを利用すれば同じことなのだと思います。 ただなんとなく、GUIで大量の画面を開いていると 部屋が散らかっているような印象がします。 ついでに私の頭の中も混乱するような感じがして あまり好きでないです。
マックなどパソコンが更にマルチタスク化していますが 私の頭がシングルタスク+α程度なので追いつきません。
余計なことまで書いてしまいまして、失礼しました。
|
Re: ポートの開放の考え方が分かりません ( No.27 ) |
|
- æ¥æï¼ 2006/03/18 19:22
- ååï¼ house
- ちょっと思ったのですが、
仮に
>1.ルータで開放するべきポートは何番か? 25/TCP(メール), 80/TCP(http), 443/TCP(https)
>2.IPTABLESで開放すべきポートは何番か? 25/TCP(メール), 80/TCP(http), 443/TCP(https)
で運用を行った場合、 そもそも「iptables」を導入することに意味はありますか?
普通、80番はHTTPだけしか権限を持っていないと思うのですが、 例えば、不正なアクセスでHTTPではない何かによって(良くわかってません) ルーターの80番が通過される可能性もあって、その場合、 そのままiptables も通過されるのでしょうか?
考え方として ルーターの簡易ファイアーウォールを突破出来る技術というのは そのまま iptables を突破する技術と同じなのでしょうか? それとも、ルーターのファイアーウォールであれこれ考えて突破した後に iptablesでもあれこれ考えてくれる(ハッカーが面倒くさくなる)のでしょうか?
唐突な質問ですが、良かったらよろしくお願い致します。
|
Re: ポートの開放の考え方が分かりません ( No.28 ) |
|
- æ¥æï¼ 2006/03/18 20:36
- ååï¼ stratix
- houseさん
まずは解決できたようでよかったですね。
>そもそも「iptables」を導入することに意味はありますか? すでにルータの簡易ファイアウォールの内側にあるので、あまり意味はないかもしれません。 ただ、何らかの原因でルータのファイアウォールが機能しなくなった場合、例えば設定ミスとか クラックされたとかいった場合には、意味があるのではないでしょうか。
>普通、80番はHTTPだけしか権限を持っていないと思うのですが、 >例えば、不正なアクセスでHTTPではない何かによって(良くわかってません) >ルーターの80番が通過される可能性もあって、その場合、 >そのままiptables も通過されるのでしょうか? そうです。そのまま通過します。 HTTPプロトコルではなくとも、ポート80宛ての通信であれば通過してしまいます。 なぜならiptablesというのは、TCP/IP層でパケットの判断をしているからです。 ようするにTCP/IPヘッダだけで判断してますので、中身のデータがどうなっているか までは見ていません。 これをブロックしたければ、アプリケーションレイヤのファイアウォールが必要になるでしょう。
>考え方として >ルーターの簡易ファイアーウォールを突破出来る技術というのは >そのまま >iptables を突破する技術と同じなのでしょうか? iptablesのほうがより細かく設定ができますが、ほぼ同じと思っていいでしょう。
>iptablesでもあれこれ考えてくれる(ハッカーが面倒くさくなる)のでしょうか? 全然関係ないですが、ハッカーという言葉は本来の意味で使ってくださいね^^; ここではクラッカーのほうが適当な言葉だと思います。
|
Re: ポートの開放の考え方が分かりません ( No.29 ) |
|
- æ¥æï¼ 2006/03/18 23:37
- ååï¼ house
- 丁寧にご回答頂きまして有り難うございました。
セキュリティも考え出すと 次から次と問題や技術があるのですね。
私も少しづつサーバーのセキュリティを高めてゆきたいと思います。
有り難うございました。
|
Page:
[1]
[2]
[3]
[4]
[5]
[6]
|
■ その他