このスレッドはクローズされています。記事の閲覧のみとなります。
ポートの開放の考え方が分かりません |
|
- æ¥æï¼ 2006/03/17 02:22
- ååï¼ house
<info@shiawase-home.com>
- 参照: http://www.shiawase-home.com
- ①不明点・障害内容:ルーター・IPTABLESのポート開放について
②ログの有無 :なし (有:その内容): ③Distribution :CENT OS 4.2 Version: ④Service Name : Version: ⑤ネットワーク構成:以下に記載しました。
------------------ | XPクライアント |(サーバにはルータの内側でしか接続しない) ------------------ | ------------------ 〜〜〜〜〜〜 | ルーター |(ポート何番か?)----------- 外部に接続 ------------------ 22,80,25,110,443,53? 〜〜〜〜〜〜 | ------------------------------------------------------------------------------------- |内部BIND設定 | | |ドメイン取得(Value Domain) iptables(ポート何番か?)22,80,25,110 | |WWW公開 | 995,465,443, | |XOOPS利用の為MYSQL-PHP利用 TCP Wrapper(IPベース) 53,3306 | |メールは外部に送信・受信 (127.0.0.1) | |(メールを見るのはXP) (192.168.0.3) | | (192.168.0.2) | | | | | |-----------------------------------| | | SSL(証明書) | | | | | | | |--------------------|-----------| |---------|------ --|-----|****** | | | | | | | | | * | | xinetd(呼び出し) | | | | | | * | | | | | | | | | * | | SSH2(暗号・鍵) メールサーバ HTTPS HTTP メールサーバ DNS MySQL * | | (22) | (443) (80) | (53) (3306) * | | | *******|------| |------| * | | |--------| * | | | | FTP(利用しない)| | | | * | | pop3 SMTP * | |WINSCP poderosa imap4 pop3S SMTPS (110) (25) ******* | | (22) (22) (993) (995) (465) PASV (20)| | 使用しない (21) (21)| | (50000〜50030) | -------------------------------------------------------------------------------------
いつも大変お世話になっております。 現在、サーバーのセキュリティを高めています。 私の理解が足りない部分もありますが、 現在の私のサーバー構成は上のようになっていると自分では考えています。 (上の図でおかしなところがあればご指摘いただければ幸いです) (ポート等は後に変更すると思いますが・・・)
セキュリティ向上の為に出来るだけポートを防ごうと考えています。 その際に、「iptables」と「ルーター」のポートはどれを開放すればよいかが分からず 頭の中がぐちゃぐちゃになっています。
現在、外部に対して 「WWW」 「メール」(外部に送信・外部から受信) (ただし、メールを閲覧するのはルーターの内側のXPマシン) を提供しています。 XOOPSを利用しているので、MYSQL PHPを利用してます。
サーバーのデータ(WWW)等は私のデータだけです。 外部に対して、FTPやWWW場所貸しのサービスはしていません。 サーバのデータはルータの内側から「poderosa」「WIN SCP」を利用するか、 直接サーバーマシンを操作しています。
(質問内容は) 1.ルータで開放するべきポートは何番か? 2.IPTABLESで開放すべきポートは何番か? です。
(私が混乱していること) その1)(多分これはあっている)
HTTPについては、外部でHTTPとHTTPSを利用したいので、 ルータもIPTABLESも 80,443の両方を開放するのか・・・
その2)(あまり自身が無い)
例えば、BINDは内側のやりとりなので、外部に対し、ルーターやIPTABLESのポートを開放する 必要がないのか・・・ 内側といっても、ルータやIPTABLESのポートを開放する必要があるのか・・・
同様に、MYSQLはブラウザを閲覧すると、ブラウザ側からMYSQLにアクセスするので ルータはポートを開放しなくてよくて 更にIPTABLESもポートを開放しなくてよいのか・・・
メールにてついては 外部へのメールや外部からのメールは25と110番を利用して送受信されるので ルーターは 25 と 110 だけ開放し、 実際届いたメールを閲覧する際には ルーターの内側でpop3SとSMTPSを利用し暗号をかけてXPクライアントマシンを利用 しているので、IPTABLESは 25,110,995,465の全てを開放する必要があるのか・・・
SSH2については、 ルーターの内側だけでpoderosaとWINSCPを利用し、FTPは一切利用していないので ルーターは何も開放せず、IPTABLESだけ 22 を開放するのか・・・
と以上のような疑問を持っています。
大変長い質問になりますが、よろしくお願い申し上げます。
|
Page:
[1]
[2]
[3]
[4]
[5]
[6]
|
■ コンテンツ関連情報
Re: ポートの開放の考え方が分かりません ( No.21 ) |
|
- æ¥æï¼ 2006/03/18 14:25
- ååï¼ house
<info@shiawase-home.com>
- 参照: http://www.shiawase-home.com
- それとご報告させて頂きます。
>chrootが機能していませんか?
bind-chroot ははずしてます。 設定がややこしくなりそうなので、 一度chroot-bind と bind をリムーブし bindのみインストールしました。 設定が正式にうまくいったら bind-chroot をインストールしようと考えています。 今回設定をしていて ln -s *** *** でこれとあれがつながっていて、とか 訳分からなくなったのでそのようにしました。
>①「/etc/sysconfig/named」の内容を教えてください。
よくわからいのですが、コメントだけになっているようです。
# Currently, you can use the following options: # ROOTDIR="/some/where" -- will run named in a chroot environment. # you must set up the chroot environment before # doing this. # OPTIONS="whatever" -- These additional options will be passed to named # at startup. Don't add -t here, use ROOTDIR instead.
>②上記以外に「/etc/hosts」もお願い致します。
# Do not remove the following line, or various programs # that require network functionality will fail. 127.0.0.1 localhost.localdomain localhost
>③「# ls -l /var/named/」を教えてください。
-rw------- 1 named named 408 3月 11 07:58 0.168.192.in-addr.arpa.db -rw-r--r-- 1 named root 3591 3月 11 07:43 0.168.192.in-addr.arpa.db.jnl drwxr-xr-x 2 root root 4096 3月 18 13:44 backup drwxrwx--- 5 named named 4096 2月 20 13:13 chroot drwxrwx--- 2 named named 4096 2月 22 2005 data -rw-r--r-- 1 named root 242 2月 8 21:08 db-XX4gn2W8 -rw-r--r-- 1 named named 198 2月 22 2005 localdomain.zone -rw-r--r-- 1 named named 195 2月 22 2005 localhost.zone -rw------- 1 named named 386 3月 18 14:29 2banme.com.db -rw-r--r-- 1 named named 415 2月 22 2005 named.broadcast -rw-r--r-- 1 named named 2517 1月 28 07:57 named.ca -rw-r--r-- 1 named named 432 2月 22 2005 named.ip6.local -rw-r--r-- 1 named named 433 2月 22 2005 named.local -rw-r--r-- 1 named named 416 2月 22 2005 named.zero -rw------- 1 named named 393 3月 18 14:08 shiawase-home.com.db -rw-r--r-- 1 named root 5032 3月 11 07:43 shiawase-home.com.db.jnl drwxrwx--- 2 named named 4096 2月 22 2005 slaves
実は named.* 関係のグループが全てrootだったので、namedに変更しました。
④「# ps -ef | grep named」もお願い致します
named 14877 1 0 14:29 ? 00:00:01 /usr/sbin/named -u named root 14914 14597 0 14:37 pts/1 00:00:00 grep named
|
Re: ポートの開放の考え方が分かりません ( No.22 ) |
|
- æ¥æï¼ 2006/03/18 14:29
- ååï¼ 管理者
- 了解しました。
shiawase-home.com.db.jnl(拡張子が「jnl」)を削除してください。 ジャーナルファイルを全て削除した後、bindを再起動するとどうでしょうか?
|
Re: ポートの開放の考え方が分かりません ( No.23 ) |
|
- æ¥æï¼ 2006/03/18 14:37
- ååï¼ house
<info@shiawase-home.com>
- 参照: http://www.shiawase-home.com
- もしかしたら解決したかもしれません。
先に状況を報告します。 以下XPクライアントマシンよりpoderosaで操作
[root@server sysconfig]# nslookup > 192.168.0.2 Server: 192.168.0.2 Address: 192.168.0.2#53
2.0.168.192.in-addr.arpa name = shiawase-home.com. > shiawase-home.com Server: 192.168.0.2 Address: 192.168.0.2#53
Name: shiawase-home.com Address: 192.168.0.2 > 2banme.com Server: 192.168.0.2 Address: 192.168.0.2#53
Name: 2banme.com Address: 192.168.0.2 >
**************************
ルーターのポート80を開放しない
http://www.shiawase-home.com/に接続・・・見ることが出来た・・・内部解決した? http://www.2banmeバーチャルドメイン.com/に接続・・・見ることが出来た・・・内部解決した?
ルーターの開放を「25、80、443」のみ開放し、後は開放しない (現在BINDは外部のセカンダリ?を利用していない・・・後に設定予定・・・なので、53クローズド)
メールベッキーをSSLでXPクライアントから接続し、 サーバーに届いたメールを見てみる・・・サーバーからXPクライアントに受信出来る ・・・わざわざ外部のバリュードメインに見に行っていない・・・内部が解決している?
とりあえず報告させて頂きます。
ちょっと頭の中を整理してまた記載させて頂きます。
|
Re: ポートの開放の考え方が分かりません ( No.24 ) |
|
- æ¥æï¼ 2006/03/18 15:20
- ååï¼ house
<info@shiawase-home.com>
- 参照: http://www.shiawase-home.com
- 今回のまとめ
前提条件)wwwサーバを公開。xoops利用の為にLAMP構成 個人情報等の入力の為に、httpsを利用する メールサーバーのメールは外部と送受信している ただし、サーバに届いたメールを見るのは、内部のクライアントPC(XP)のみ バーチャルドメインを利用
目標 )セキュリティの高いサーバ運用の為、出来るだけルーターのポートを閉じたい iptables(ファイアウォールを導入)し、やはり極力ポートを開かない
本来の答)
>1.ルータで開放するべきポートは何番か? 25/TCP(メール), 80/TCP(http), 443/TCP(https)
>2.IPTABLESで開放すべきポートは何番か? 25/TCP(メール), 80/TCP(http), 443/TCP(https)
内部からのアクセスは全て許可になっている為、外部に接続する必要のあるものだけ開く
外部のセカンダリネームサーバーを利用している場合、 更に 53/UDP(BIND)を開放する。 >宛先ポート53/UDPの通信が発生した場合、コネクショントラッキング >(正確にはUDPなのでコネクションレスですが)によってNATテーブルに登録され、DNSの応答パケットはその送信元の >ノードに転送されるはずです
問題発生) 1.メールサーバーにOpenSSL と mod SSL を導入すると、 ルーターで「995,465」を開放しないと、サーバーに届いたメールを 内部のクライアントPC(XP)から閲覧(受信)出来ない。
2.クライアントPC(XP)のネームサーバーをサーバーに設定すると、ネットの閲覧が以上に遅い
上記理由)内部のネームサーバーが解決出来ていなかった為に、 メールを送受信する際にわざわざ外部のネームサーバー (バーチャルドメインにまで聞きに行かないとメールが閲覧出来ない) ・・・それではメールソフトの設定をローカルIPアドレスに出来ないのか? メールサーバーにOpenSSL と mod SSL を導入している為に、ローカルIPでの接続が出来ない。 ・・・ネームサーバーで混乱している為に、ネット閲覧スピードが遅くなっている。 ・・・内部のネームサーバーを解決する必要がある。 ネームサーバがおかしくなっていた理由)(多分)
/var/named/の中の「named.*」のグループが「root」になっていた為に、「named」に変更 新たに設定した「shiawase-home.com.db」に不具合があった。 (これがどうしても理由が分かりません。バックアップファイルを利用したらOKになった) 当初、サーバーのIPを入力した名前解決でエラーになっていて、その際には、「*.db」ファイルのミスがありました。 結局2つのミスがあったようです。 **************
上記で全て解決できたようです。 皆さん、本当にどうも有り難うございました。 私も俺ではないですが、知っている情報は積極的に開示したいと思います。 今後ともよろしくお願い申し上げます。
|
Re: ポートの開放の考え方が分かりません ( No.25 ) |
|
- æ¥æï¼ 2006/03/18 16:39
- ååï¼ 管理者
- バックアップ時にはどのようにバックアップされましたか?
そのままFTP等でバックアップした場合、改行コードがCR+LFになってしまう場合があります。 (本来はLFのみです。)
見た目は変わっていないのに起動できなくなってしまう場合があります。 バックアップ時には、オーナ、パーミッション等が同時に保存できるtarで行うことをお勧めします。
|
Page:
[1]
[2]
[3]
[4]
[5]
[6]
|
■ その他