はじめての自宅サーバ構築 - Fedora/CentOS -
Last Update 2018/05/30
[ 更新履歴 ] [ サイト マップ ] [ 質問掲示板 ] [ 雑談掲示板 ] [ リンク ]
トップ >> 質問掲示板

 このスレッドはクローズされています。記事の閲覧のみとなります。

 ポートの開放の考え方が分かりません
日時: 2006/03/17 02:22
名前: house   <info@shiawase-home.com>
参照: http://www.shiawase-home.com

①不明点・障害内容:ルーター・IPTABLESのポート開放について
②ログの有無   :なし
  (有:その内容):
③Distribution  :CENT OS 4.2
      Version:
④Service Name  :
      Version:
⑤ネットワーク構成:以下に記載しました。

               ------------------
               | XPクライアント |(サーバにはルータの内側でしか接続しない)
               ------------------
                   |
               ------------------               〜〜〜〜〜〜
               |  ルーター  |(ポート何番か?)----------- 外部に接続
               ------------------  22,80,25,110,443,53?   〜〜〜〜〜〜
                   |
-------------------------------------------------------------------------------------
|内部BIND設定            |                        |
|ドメイン取得(Value Domain)   iptables(ポート何番か?)22,80,25,110       |
|WWW公開               |           995,465,443,       |
|XOOPS利用の為MYSQL-PHP利用  TCP Wrapper(IPベース)    53,3306          |
|メールは外部に送信・受信    (127.0.0.1)                     |
|(メールを見るのはXP)     (192.168.0.3)                    |
|                (192.168.0.2)                    |
|                  |                        |
|          |-----------------------------------|              |
|        SSL(証明書)              |              |
|          |                  |              |
|    |--------------------|-----------|   |---------|------ --|-----|******   |
|    |          |      |   |     |     |   |   *   |
|   xinetd(呼び出し)   |      |   |     |     |   |   *   |
|    |          |      |   |     |     |   |   *   |
|   SSH2(暗号・鍵)  メールサーバ  HTTPS HTTP メールサーバ DNS MySQL *   |
|   (22)         |     (443) (80)    |    (53) (3306) *   |
|    |       *******|------|        |------|         *   |
|  |--------|    *   |   |        |   |    FTP(利用しない)|
|  |    |    *   |   |        pop3 SMTP        *   |
|WINSCP  poderosa imap4 pop3S SMTPS       (110) (25)       ******* |
| (22)   (22)   (993) (995) (465)                  PASV  (20)|
|        使用しない                        (21)  (21)|
|                                (50000〜50030)    |
-------------------------------------------------------------------------------------

いつも大変お世話になっております。
現在、サーバーのセキュリティを高めています。
私の理解が足りない部分もありますが、
現在の私のサーバー構成は上のようになっていると自分では考えています。
(上の図でおかしなところがあればご指摘いただければ幸いです)
(ポート等は後に変更すると思いますが・・・)

セキュリティ向上の為に出来るだけポートを防ごうと考えています。
その際に、「iptables」と「ルーター」のポートはどれを開放すればよいかが分からず
頭の中がぐちゃぐちゃになっています。

現在、外部に対して
「WWW」
「メール」(外部に送信・外部から受信)
(ただし、メールを閲覧するのはルーターの内側のXPマシン)
を提供しています。
XOOPSを利用しているので、MYSQL PHPを利用してます。

サーバーのデータ(WWW)等は私のデータだけです。
外部に対して、FTPやWWW場所貸しのサービスはしていません。
サーバのデータはルータの内側から「poderosa」「WIN SCP」を利用するか、
直接サーバーマシンを操作しています。

(質問内容は)
1.ルータで開放するべきポートは何番か?
2.IPTABLESで開放すべきポートは何番か? です。

(私が混乱していること)
その1)(多分これはあっている)

HTTPについては、外部でHTTPとHTTPSを利用したいので、
ルータもIPTABLESも 80,443の両方を開放するのか・・・

その2)(あまり自身が無い)

例えば、BINDは内側のやりとりなので、外部に対し、ルーターやIPTABLESのポートを開放する
必要がないのか・・・
内側といっても、ルータやIPTABLESのポートを開放する必要があるのか・・・

同様に、MYSQLはブラウザを閲覧すると、ブラウザ側からMYSQLにアクセスするので
ルータはポートを開放しなくてよくて
更にIPTABLESもポートを開放しなくてよいのか・・・

メールにてついては
外部へのメールや外部からのメールは25と110番を利用して送受信されるので
ルーターは 25 と 110 だけ開放し、
実際届いたメールを閲覧する際には
ルーターの内側でpop3SとSMTPSを利用し暗号をかけてXPクライアントマシンを利用
しているので、IPTABLESは 25,110,995,465の全てを開放する必要があるのか・・・

SSH2については、
ルーターの内側だけでpoderosaとWINSCPを利用し、FTPは一切利用していないので
ルーターは何も開放せず、IPTABLESだけ 22 を開放するのか・・・

と以上のような疑問を持っています。

大変長い質問になりますが、よろしくお願い申し上げます。
メンテ

Page:  [1] [2] [3] [4] [5] [6]

■ コンテンツ関連情報

 Re: ポートの開放の考え方が分かりません ( No.11 )
日時: 2006/03/18 04:38
名前: house   <info@shiawase-home.com>
参照: http://www.shiawase-home.com

SSL接続をしている為、
IPでアクセスが出来ないのですが、
BINDが有効かどうかを調べるサイトがり、
やはりBINDに問題があったようです。

http://www.dnsreport.com/

バーチャルドメインの設定をした際に
どこかにミスがあったようです。
現在、原因を探していますが、
BINDのろこに問題があったのか理由は分かっていません。

ちなみに
[root@server named]# nslookup
> 192.168.0.2
Server:     192.168.0.2
Address:    192.168.0.2#53

2.0.168.192.in-addr.arpa    name = shiawase-home.com.
> shiawase-home.com
Server:     192.168.0.2
Address:    192.168.0.2#53

** server can't find shiawase-home.com: SERVFAIL

と表示されます。

※ nslookupはXPからpoderosaを使用してかけましたので、
サーバーで直接操作した形になっていると思います。

グーグル検索をかけると、同様のエラーで悩む方もいるようです。
多分、単純ミスのような気もするのですが・・・
メンテ
 Re: ポートの開放の考え方が分かりません ( No.12 )
日時: 2006/03/18 17:29
名前: house   <info@shiawase-home.com>
参照: http://www.shiawase-home.com

どうしても原因がわからないので、
どうぞ皆さん、お力を貸してください。
極力分かりやすく、状況を記載させて頂きます。
よろしくお願い申し上げます。

参考情報)

[root@server named]# dig

; <<>> DiG 9.2.4 <<>>
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56058
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 1

;; QUESTION SECTION:
;.               IN   NS

;; ANSWER SECTION:
.            516951 IN   NS   H.ROOT-SERVERS.NET.
.            516951 IN   NS   I.ROOT-SERVERS.NET.
.            516951 IN   NS   J.ROOT-SERVERS.NET.
.            516951 IN   NS   K.ROOT-SERVERS.NET.
.            516951 IN   NS   L.ROOT-SERVERS.NET.
.            516951 IN   NS   M.ROOT-SERVERS.NET.
.            516951 IN   NS   A.ROOT-SERVERS.NET.
.            516951 IN   NS   B.ROOT-SERVERS.NET.
.            516951 IN   NS   C.ROOT-SERVERS.NET.
.            516951 IN   NS   D.ROOT-SERVERS.NET.
.            516951 IN   NS   E.ROOT-SERVERS.NET.
.            516951 IN   NS   F.ROOT-SERVERS.NET.
.            516951 IN   NS   G.ROOT-SERVERS.NET.

;; ADDITIONAL SECTION:
J.ROOT-SERVERS.NET.   603351 IN   A    192.58.128.30

;; Query time: 62 msec
;; SERVER: 192.168.0.2#53(192.168.0.2)
;; WHEN: Sat Mar 18 03:44:07 2006
;; MSG SIZE rcvd: 244

*****************************************************

(クライアントXPでのコマンドプロンプト)

C:\Documents and Settings\xpuser>ipconfig /all

Windows IP Configuration

    Host Name . . . . . . . . . . . . : xp
    Primary Dns Suffix . . . . . . . :
    Node Type . . . . . . . . . . . . : Hybrid
    IP Routing Enabled. . . . . . . . : No
    WINS Proxy Enabled. . . . . . . . : No
    DNS Suffix Search List. . . . . . : shiawase-home.com

Ethernet adapter ローカル エリア接続 3:

    Connection-specific DNS Suffix . : shiawase-home.com
    Description . . . . . . . . . . . : Realtek RTL**** Family PCI Fast Ethe
rnet NIC #2
    Physical Address. . . . . . . . . : **-**-**-**-**-**
    Dhcp Enabled. . . . . . . . . . . : Yes
    Autoconfiguration Enabled . . . . : Yes
    IP Address. . . . . . . . . . . . : 192.168.0.3
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
    Default Gateway . . . . . . . . . : 192.168.0.1
    DHCP Server . . . . . . . . . . . : 192.168.0.2
    DNS Servers . . . . . . . . . . . : 192.168.0.2
    Lease Obtained. . . . . . . . . . : 2006年3月18日 1:04:04
    Lease Expires . . . . . . . . . . : 2006年3月18日 7:04:04

**************************
nslookupをかけて
shiawase-home.comを入力し、エラーが表示された際のログです。
/var/log/messages

Mar 18 03:56:44 server named[5252]: loading configuration from '/etc/named.conf'
Mar 18 03:56:44 server named[5252]: listening on IPv4 interface lo, 127.0.0.1#53
Mar 18 03:56:44 server named[5252]: listening on IPv4 interface eth0, 192.168.0.2#53
Mar 18 03:56:44 server named[5252]: zone 'shiawase-home.com' allows updates by IP address, which is insecure
Mar 18 03:56:44 server named[5252]: zone '0.168.192.in-addr.arpa' allows updates by IP address, which is insecure
Mar 18 03:56:44 server named[5252]: command channel listening on 127.0.0.1#953
Mar 18 03:56:44 server named[5252]: zone 0.in-addr.arpa/IN: loaded serial 42
Mar 18 03:56:44 server named[5252]: zone 0.0.127.in-addr.arpa/IN: loaded serial 1997022700
Mar 18 03:56:44 server named[5252]: zone 0.168.192.in-addr.arpa/IN: loaded serial 2006010834
Mar 18 03:56:44 server named[5252]: zone 255.in-addr.arpa/IN: loaded serial 42
Mar 18 03:56:44 server named[5252]: zone 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 1997022700
Mar 18 03:56:44 server named[5252]: zone shiawase-home.com/IN: journal rollforward failed: not exact
Mar 18 03:56:44 server named[5252]: zone localdomain/IN: loaded serial 42
Mar 18 03:56:44 server named[5252]: zone localhost/IN: loaded serial 42
Mar 18 03:56:44 server named[5252]: running

メンテ
 Re: ポートの開放の考え方が分かりません ( No.13 )

** 返信者によって削除されました **

 /etc/named.conf ( No.14 )
日時: 2006/03/18 06:07
名前: house   <info@shiawase-home.com>
参照: http://www.shiawase-home.com

options {
 directory "/var/named";
 dump-file "/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named_stats.txt";
 /*
 * If there is a firewall between you and nameservers you want
 * to talk to, you might need to uncomment the query-source
 * directive below. Previous versions of BIND always asked
 * questions using port 53, but BIND 8.1 uses an unprivileged
 * port by default.
 */
 // query-source address * port 53;

// bindを使用する範囲を指定
 allow-query{
 127.0.0.0;
 192.168.0.0/24;
 };
};

controls {
 inet 127.0.0.1 allow { localhost; } keys { rndckey; };
};

zone "." IN {
 type hint;
 file "named.ca";
};

zone "localdomain" IN {
 type master;
 file "localdomain.zone";
 allow-update { none; };
};

zone "localhost" IN {
 type master;
 file "localhost.zone";
 allow-update { none; };
};

zone "0.0.127.in-addr.arpa" IN {
 type master;
 file "named.local";
 allow-update { none; };
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
    type master;
 file "named.ip6.local";
 allow-update { none; };
};

zone "255.in-addr.arpa" IN {
 type master;
 file "named.broadcast";
 allow-update { none; };
};

zone "0.in-addr.arpa" IN {
 type master;
 file "named.zero";
 allow-update { none; };
};

include "/etc/rndc.key";

 zone "shiawase-home.com" {
 type master;
 file "shiawase-home.com.db";
 allow-update { 192.168.0.2; };
 };

 zone "2banme.com" {
 type master;
 file "2banme.com.db";
 allow-update { 192.168.0.2; };
 };

 zone "0.168.192.in-addr.arpa" {
 type master;
 file "0.168.192.in-addr.arpa.db";
 allow-update { 192.168.0.2; };
 };
メンテ
 設定ファイル ( No.15 )
日時: 2006/03/18 12:28
名前: house   <info@shiawase-home.com>
参照: http://www.shiawase-home.com

/var/named/shiawase-home.com.db

$TTL 86400 ; 1 day
@ IN SOA shiawase-home.com. root.shiawase-home.com. (
 2006010850 ; serial
 7200    ; refresh (1 hour)
 3600    ; retry (15 minutes)
 604800   ; expire (1 week)
 86400   ; minimum (1 day)
 )
 NS shiawase-home.com.
 MX 10 shiawase-home.com.
 A 192.168.0.2
www CNAME shiawase-home.com.
server CNAME shiawase-home.com.

***********************************************

/var/named/2banme.com.db


$TTL  86400
@    IN SOA 2banme.com. root.2banme.com. (
        2006010700       ; serial
        7200          ; refresh (1 hour)
        3600          ; retry (15 minutes)
        604800         ; expire (1 week)
        86400          ; minimum TTL (1 day)
        )
        NS       2banme.com.
        MX   10   2banme.com.
        A        192.168.0.2
    www   CNAME      2banme.com.
    server CNAME      2banme.com.

*************************************************

/var/named/0.168.192.in-addr.arpa.db

$TTL 86400   ; 1 day
@    IN SOA shiawase-home.com. root.shiawase-home.com. (
        2006010834 ; serial
        7200    ; refresh (1 hour)
        3600    ; retry (15 minutes)
        604800   ; expire (1 week)
        86400   ; minimum TTL (1 day)
    )
    NS   shiawase-home.com.
    MX   10   shiawase-home.com.
2    PTR   shiawase-home.com.

*******************************

/etc/sysconfig/network

NETWORKING=yes
HOSTNAME=server.shiawase-home.com
GATEWAY=192.168.0.1

**********************************
/etc/resolv.conf

search shiawase-home.com
nameserver 192.168.0.2

***********************************
/etc/nsswitch.conf

一部
#hosts:   db files ldap nis dns
#hosts:   files nisplus nis dns
#hosts: files nisplus nis dns
hosts: files dns
メンテ

Page:  [1] [2] [3] [4] [5] [6]

■ その他

ページ先頭へ

Copyright(©)2004-2018 First home server construction. All Right Reserved.