はじめまして。LINUXをメルボルンで勉強中のメルボニアンと申します。色々とネット上を渡り歩きましたが、わかりやすく、情報量が多く、頻繁にアップデートされているサイトは、ここくらいしかないようですので、いつも参考にさせていただいております。
今回、Redhat7.3を利用して、WEBサーバを立ち上げ中です。WWWサーバの動作確認方法(http://www.aconus.com/~oyaji/router/www_tst.htm)を参考に確認したところ、以下のようになりました。
(1)サーバ機での動作確認 ⇒ OK
(2)クライアント機での動作確認 ⇒ OK
(3)インターネット側からの動作確認 ⇒ NG
そこで、記述にあるとおり、セキュリティサイトでのチェックを実行してみました。(http://scan.sygatetech.com/prequickscan.html)
すると、ポート80をはじめ、全ポートがBlockedと表示されていました。これでは、インターネット側からはアクセス不能ですので、iptablesによるフィルタリング設定がおかしいというところまでわかりました。現在のiptablesの設定状況は以下のとおりです。
[root@server sbin]# /sbin/iptables -nL
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 127.0.0.1 127.0.0.1
ACCEPT all -- 192.168.0.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABL
ISHED
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABL
ISHED
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:20:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:123
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:554
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 127.0.0.1 127.0.0.1
ACCEPT all -- 0.0.0.0/0 192.168.0.0/24
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
IPマスカレードは問題なくできていますが、ポート80はじめ、なぜ「open」と表示されないかがわかりません。なにかアドバイスをいただきたくて掲示板を利用させていただきました。
よろしくお願いいたします。
こんにちは。 おやじは、ルータを使用しているのであまり自信はありませんが、下記でテストしてみてください。 現在の/etc/sysconfig/ipchainsはipchains.bakあたりにリネームしてから実施してください。 下記のポリシーは、おやじのルータの設定ポリシーとほぼ同じです。トロイの木馬関係は設定 していませんので、必要ならBA8000の設定を参考に追加してください。 現在の設定と見比べていただければ、違いがわかると思います。恐らくinputとoutputのpolicyが Dropになっているからと思います。 簡単に説明します。当然ですが、文頭の数字は説明用のものですので削除して設定してください。 ・ 5〜 7行目;チェーンのポリシー。インタフェースで受信・送信するパケットは受け入れ、 中継するものは破棄としている。必要なものをフィルタであける思想。 ・ 8〜14行目;インターネット側からのプライベートアドレスの成りすまし防止。 WAN側のインタフェース名はppp0としていますので必要なら修正してください。 ・15〜17行目;信頼するインタフェースの設定 LAN側のインタフェース名はeht1としていますので必要なら修正してください。 ・18〜21行目;Microsoft ネットワーク関連のパケットの流出防止。 ・22〜26行目;UDP関係とICMPの設定。25行目で上で通過と指定したもの以外のUDPをカット。 IDENTはREJECTにしてます。このほうが、FTPサーバによっては接続が早くなる ので。DENYだと遅くなるサーバがあります。(おやじのFTPサーバ等) ・27〜37行目;TCP関係の設定。ここには、WAN側から通信が開始されるサーバ関係のポートを 通過設定。37行目で上で通過と指定したもの以外のWAN側から通信が開始される TCPをカット。 ・38〜39行目;マスカレードの設定。LAN側のネットワークは192.168.1.0/24としておきました ので、必要なら修正してください。 1; # Firewall configuration written by lokkit 2; # Manual customization of this file is not recommended. 3; # Note: ifup-post will punch the current nameservers through the 4; # firewall; such entries will *not* be listed here. 5; :input ACCEPT 6; :forward DENY 7; :output ACCEPT 8; # IP spoofing 9; -A input -i ppp0 -s 10.0.0.0/8 -d 0/0 -j DENY 10; -A input -i ppp0 -s 172.16.0.0/12 -d 0/0 -j DENY 11; -A input -i ppp0 -s 192.168.0.0/16 -d 0/0 -j DENY 12; -A output -i ppp0 -s 0/0 -d 10.0.0.0/8 -j DENY 13; -A output -i ppp0 -s 0/0 -d 172.16.0.0/12 -j DENY 14; -A output -i ppp0 -s 0/0 -d 192.168.0.0/16 -j DENY 15; # Trusted device 16; -A input -i lo -s 0/0 -d 0/0 -j ACCEPT 17; -A input -i eth1 -s 0/0 -d 0/0 -j ACCEPT 18; # Microsoft network 19; -A output -s 0/0 -d 0/0 135 -p tcp -j REJECT 20; -A output -s 0/0 -d 0/0 137:139 -p tcp -j REJECT 21; -A output -s 0/0 -d 0/0 445 -p tcp -j REJECT 22; # UDP (DNS, NTP) & ICMP 23; -A input -s 0/0 53 -d 0/0 -p udp -j ACCEPT 24; -A input -s 0/0 123 -d 0/0 -p udp -j ACCEPT 25; -A input -s 0/0 -d 0/0 -p udp -j DENY 26; -A input -s 0/0 -d 0/0 -p icmp -j ACCEPT 27; # TCP (FTP, SSH, SMTP, HTTP, POP3, HTTPs, RTSP, IDENT) 28; -A input -i ppp0 -s 0/0 -d 0/0 21 -p tcp -y -j ACCEPT 29; -A input -i ppp0 -s 0/0 20 -d 0/0 -p tcp -y -j ACCEPT 30; -A input -i ppp0 -s 0/0 -d 0/0 22 -p tcp -y -j ACCEPT 31; -A input -i ppp0 -s 0/0 -d 0/0 25 -p tcp -y -j ACCEPT 32; -A input -i ppp0 -s 0/0 -d 0/0 80 -p tcp -y -j ACCEPT 33; -A input -i ppp0 -s 0/0 -d 0/0 110 -p tcp -y -j ACCEPT 34; -A input -i ppp0 -s 0/0 -d 0/0 443 -p tcp -y -j ACCEPT 35; -A input -i ppp0 -s 0/0 -d 0/0 554 -p tcp -y -j ACCEPT 36; -A input -i ppp0 -s 0/0 -d 0/0 113 -p tcp -y -j REJECT 37; -A input -i ppp0 -s 0/0 -d 0/0 -p tcp -y -j DENY 38; # Masquerade 39; -A forward -s 192.168.1.0/24 -d 0/0 -j MASQ
> こんにちは。
>
> おやじは、ルータを使用しているのであまり自信はありませんが、下記でテストしてみてください。
> 現在の/etc/sysconfig/ipchainsはipchains.bakあたりにリネームしてから実施してください。
> 下記のポリシーは、おやじのルータの設定ポリシーとほぼ同じです。トロイの木馬関係は設定
> していませんので、必要ならBA8000の設定を参考に追加してください。
> 現在の設定と見比べていただければ、違いがわかると思います。恐らくinputとoutputのpolicyが
> Dropになっているからと思います。
ありがとうございます。デフォルトポリシーのところですね。なんでもかんでもまずは拒否をするというのも長所短所があることがわかりました。
さっそく、いただいたipchainsをシェルスクリプトにして、動かしてみました。
+++++++
#! /bin/sh
# ipchains.sh
/sbin/ipchains -F
/sbin/ipchains -P input ACCEPT
/sbin/ipchains -P forward DENY
/sbin/ipchains -P output ACCEPT
# IP spoofing
/sbin/ipchains -A input -i eth0 -s 10.0.0.0/8 -d 0/0 -j DENY
/sbin/ipchains -A input -i eth0 -s 172.16.0.0/12 -d 0/0 -j DENY
/sbin/ipchains -A input -i eth0 -s 192.168.0.0/16 -d 0/0 -j DENY
/sbin/ipchains -A output -i eth0 -s 0/0 -d 10.0.0.0/8 -j DENY
/sbin/ipchains -A output -i eth0 -s 0/0 -d 172.16.0.0/12 -j DENY
/sbin/ipchains -A output -i eth0 -s 0/0 -d 192.168.0.0/16 -j DENY
# Trusted device
/sbin/ipchains -A input -i lo -s 0/0 -d 0/0 -j ACCEPT
/sbin/ipchains -A input -i eth1 -s 0/0 -d 0/0 -j ACCEPT
# Microsoft network
/sbin/ipchains -A output -s 0/0 -d 0/0 135 -p tcp -j REJECT
/sbin/ipchains -A output -s 0/0 -d 0/0 137:139 -p tcp -j REJECT
/sbin/ipchaisn -A output -s 0/0 -d 0/0 445 -p tcp -j REJECT
# UDP (DNS, NTP) & ICMP
/sbin/ipchains -A input -s 0/0 53 -d 0/0 -p udp -j ACCEPT
/sbin/ipchains -A input -s 0/0 123 -d 0/0 -p udp -j ACCEPT
/sbin/ipchains -A input -s 0/0 -d 0/0 -p udp -j DENY
/sbin/ipchains -A input -s 0/0 -d 0/0 -p icmp -j ACCEPT
# TCP (FTP, SSH, SMTP, HTTP, POP3, HTTPs, RTSP, IDENT)
/sbin/ipchains -A input -i eth0 -s 0/0 -d 0/0 21 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i eth0 -s 0/0 20 -d 0/0 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i eth0 -s 0/0 -d 0/0 22 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i eth0 -s 0/0 -d 0/0 25 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i eth0 -s 0/0 -d 0/0 80 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i eth0 -s 0/0 -d 0/0 110 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i eth0 -s 0/0 -d 0/0 443 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i eth0 -s 0/0 -d 0/0 554 -p tcp -y -j ACCEPT
/sbin/ipchains -A input -i eth0 -s 0/0 -d 0/0 113 -p tcp -y -j REJECT
/sbin/ipchains -A input -i eth0 -s 0/0 -d 0/0 -p tcp -y -j DENY
# Masquerade
/sbin/ipchains -A forward -s 192.168.0.0/24 -d 0/0 -j MASQ
+++++++
その後、おやじさんの「WWWサーバのテスト」をしましたが、以前と同じく、
「2002/12/30 19:15:24 211.28.96.70 GET http://210.49.154.156/ (error: 指定されたWWWサーバのIPアドレス(210.49.154.156)が、あなたのサイトのIPアドレス(211.28.96.70)と一致しません。)
」と表示されてしまいます。
おすすめのセキュリティチェックサイト(http://scan.sygatetech.com/)でも測定してみましたが、
openになっているのは、SSH,HTTPS,ICMPだけです。WEB,FTP等はclosedになっています。
ううむ。何か他のところで悪さをしているのでしょうか。年末のお忙しいところ申し訳ありませんが、アドバイスのほう、よろしくお願いいたします。
こんばんは。
> その後、おやじさんの「WWWサーバのテスト」をしましたが、以前と同じく、
> 「2002/12/30 19:15:24 211.28.96.70 GET http://210.49.154.156/ (error: 指定されたWWWサーバのIPアドレス(210.49.154.156)が、あなたのサイトのIPアドレス(211.28.96.70)と一致しません。)
> 」と表示されてしまいます。
ブラウザでプロキシを設定していませんか? このメッセージは、おやじのサイトに211.28.96.70からアクセスがあったのに
210.49.154.156のアドレスを指定されたので、プロキシ動作になるので拒否したものです。
あと、以前あったのですが、プロバイダが勝手にプロキシを入れてるケースです。こうなると、おやじのテストでは
対応できません。
> おすすめのセキュリティチェックサイト(http://scan.sygatetech.com/)でも測定してみましたが、
> openになっているのは、SSH,HTTPS,ICMPだけです。WEB,FTP等はclosedになっています。
SSH,HTTPS,ICMPがopenになったのでフィルタには問題ないかと思います。記述は同じなので、プロバイダが
サーバ設置を止めている可能性もあります。簡単に調べるには、デーモンのポートとフィルタのポートを例えば
10080あたりにして、おやじのテストをしてみてください。当然上のアドレス問題が解決してからですが。
これで、うまくいくならプロバイダが止めていると思います。となると気になるのが、約款上、サーバをたてても
いいのかと言うことです。
上の2件からすると、ネットワーク上でプロキシが入っていて、逆方向は規制されているような気がしますが。
> ううむ。何か他のところで悪さをしているのでしょうか。年末のお忙しいところ申し訳ありませんが、アドバイスのほう、よろしくお願いいたします。
明日から、3日間骨休めで温泉に行って来ますので、今晩中に解決したいところですね。
返信ありがとうございます。
> > その後、おやじさんの「WWWサーバのテスト」をしましたが、以前と同じく、
> > 「2002/12/30 19:15:24 211.28.96.70 GET http://210.49.154.156/ (error: 指定されたWWWサーバのIPアドレス(210.49.154.156)が、あなたのサイトのIPアドレス(211.28.96.70)と一致しません。)
> > 」と表示されてしまいます。
>
> ブラウザでプロキシを設定していませんか? このメッセージは、おやじのサイトに211.28.96.70からアクセスがあったのに
> 210.49.154.156のアドレスを指定されたので、プロキシ動作になるので拒否したものです。
ブラウザのインターネットオプションを確認してみました。特に、プロキシ設定はされていませんでした。
> あと、以前あったのですが、プロバイダが勝手にプロキシを入れてるケースです。こうなると、おやじのテストでは
> 対応できません。
そうですか。プロバイダは、オーストラリアにあるOPTUSのCATV回線を使用しています。
> > おすすめのセキュリティチェックサイト(http://scan.sygatetech.com/)でも測定してみましたが、
> > openになっているのは、SSH,HTTPS,ICMPだけです。WEB,FTP等はclosedになっています。
>
> SSH,HTTPS,ICMPがopenになったのでフィルタには問題ないかと思います。記述は同じなので、プロバイダが
> サーバ設置を止めている可能性もあります。簡単に調べるには、デーモンのポートとフィルタのポートを例えば
> 10080あたりにして、おやじのテストをしてみてください。当然上のアドレス問題が解決してからですが。
> これで、うまくいくならプロバイダが止めていると思います。
すいません。ポートの具体的な変更方法がわかりませんので、ちょっとネット上で勉強してやってみます。
となると気になるのが、約款上、サーバをたてても
> いいのかと言うことです。
OPTUSの約款を調べてみます。英語だ、、、、
>
> 上の2件からすると、ネットワーク上でプロキシが入っていて、逆方向は規制されているような気がしますが。
その場合は、もうあきらめるしかないんですかね、、、、
> 明日から、3日間骨休めで温泉に行って来ますので、今晩中に解決したいところですね。
おお!
すいません。できるかぎり自分で頑張ってみますので、お時間が許せば、アドバイスのほうよろしくお願いいたします。温泉のときには、間違ってもサーバのことを考えないで、ゆっくり骨休めしてください。
こんばんは。
> そうですか。プロバイダは、オーストラリアにあるOPTUSのCATV回線を使用しています。
国内だとCATVは、できないケースが多いです。プラベートアドレスだったりしますので。
> すいません。ポートの具体的な変更方法がわかりませんので、ちょっとネット上で勉強してやってみます。
Apache1.3系なら/etc/httpd/conf/httpd.confの「Listen 80」の80を変更すればOKです。
2.0系のデフォルトインストールなら/usr/local/apache2/conf/httpd.confで同じ方法です。
> OPTUSの約款を調べてみます。英語だ、、、、
ぜひ調べてください。
> その場合は、もうあきらめるしかないんですかね、、、、
特定の方向けなら、HTTPSでも問題ないのでは。
> > 明日から、3日間骨休めで温泉に行って来ますので、今晩中に解決したいところですね。
> おお!
> すいません。できるかぎり自分で頑張ってみますので、お時間が許せば、アドバイスのほうよろしくお願いいたします。温泉のときには、間違ってもサーバのことを考えないで、ゆっくり骨休めしてください。
ありがとうございます。
> Apache1.3系なら/etc/httpd/conf/httpd.confの「Listen 80」の80を変更すればOKです。
> 2.0系のデフォルトインストールなら/usr/local/apache2/conf/httpd.confで同じ方法です。
10080にしたなら、http://xx.xxx.xxx.xxx:10080/ でアクセスしてください。
> > Apache1.3系なら/etc/httpd/conf/httpd.confの「Listen 80」の80を変更すればOKです。
> > 2.0系のデフォルトインストールなら/usr/local/apache2/conf/httpd.confで同じ方法です。
>
> 10080にしたなら、http://xx.xxx.xxx.xxx:10080/ でアクセスしてください。
どうもすいません。アドバイスありがとうございます。
さっそく、トライさせていただきました。
でも結果は、前回と同じでした。
ポートの変更方法が間違っていないか等、調査してみます。
いつも早い返信、ありがとうございます。
> > そうですか。プロバイダは、オーストラリアにあるOPTUSのCATV回線を使用しています。
>
> 国内だとCATVは、できないケースが多いです。プラベートアドレスだったりしますので。
そうですか。OPTUSも同じかもしれませんね。後ほどしっかり調べてみます。OPTUSケーブルサービスでは、DHCPによるIPアドレス付与になっていますが、もしかしたら、これがプライベートアドレスだったりするのかもしれませんね、、、、これも調べてみます。
>
> > すいません。ポートの具体的な変更方法がわかりませんので、ちょっとネット上で勉強してやってみます。
>
> Apache1.3系なら/etc/httpd/conf/httpd.confの「Listen 80」の80を変更すればOKです。
> 2.0系のデフォルトインストールなら/usr/local/apache2/conf/httpd.confで同じ方法です。
rpmコマンドでバージョンを調べたところ1.3系でしたので、listenを80から10080に変更しました。また、さきほどのipchainsのシェルスクリプト上も同じく変更して、リブートしました。その後、おやじさんのテストを再実行してみましたが、さきほどと同じ結果でした。
2002/12/30 21:28:24 211.28.96.70 GET http://210.49.154.156/ (error: 指定されたWWWサーバのIPアドレス(210.49.154.156)が、あなたのサイトのIPアドレス(211.28.96.70)と一致しません。)
むむむ、、、これはどういうことでしょうか、、、
> > その場合は、もうあきらめるしかないんですかね、、、、
>
> 特定の方向けなら、HTTPSでも問題ないのでは。
はい、WEBサーバ公開は、特定の人向けでも問題ありません。こちらオーストラリアの状況を両親に見せることが一番の目的ですので。勉強不足なんで、HTTPSで特定の人向けにどのように公開するのかは、お正月に勉強しておきます。
もう遅い時間になってきていますので、おやじさんも無理をなさらないようにしてください。適当な時間で私のトラブルは切り上げてください。こちらは、お正月に頑張ります!
こんばんは。
211.28.96.70 は、明らかにプロキシです。こちらから利用できます。チョットお粗末なISPのような気がします。
普通は、自分のユーザ以外からは利用できなように設定するものですが。
> > 国内だとCATVは、できないケースが多いです。プラベートアドレスだったりしますので。
>
> そうですか。OPTUSも同じかもしれませんね。後ほどしっかり調べてみます。OPTUSケーブルサービスでは、DHCPによるIPアドレス付与になっていますが、もしかしたら、これがプライベートアドレスだったりするのかもしれませんね、、、、これも調べてみます。
自分のIPアドレスは「ifconfig」で調べられます。こちらを参考にしてください。
http://www.din.or.jp/~shimaden/tips/linux/tip0009.html
こんばんは。
> 211.28.96.70 は、明らかにプロキシです。こちらから利用できます。チョットお粗末なISPのような気がします。
> 普通は、自分のユーザ以外からは利用できなように設定するものですが。
この他にも、ここのISPは色々とお粗末な部分がありそうです。
オーストラリア第2のプロバイダなんですけど、、、、
> > そうですか。OPTUSも同じかもしれませんね。後ほどしっかり調べてみます。OPTUSケーブルサービスでは、DHCPによるIPアドレス付与になっていますが、もしかしたら、これがプライベートアドレスだったりするのかもしれませんね、、、、これも調べてみます。
>
> 自分のIPアドレスは「ifconfig」で調べられます。こちらを参考にしてください。
>
> http://www.din.or.jp/~shimaden/tips/linux/tip0009.html
はい、ありがとうございます。WAN側のIPアドレスは、210.49.154.156です。
[root@server root]# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:90:CC:24:B8:DD
inet addr:210.49.154.156 Bcast:210.49.154.255 Mask:255.255.255.0
UP BROADCAST NOTRAILERS RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6663 errors:0 dropped:0 overruns:0 frame:0
TX packets:1485 errors:0 dropped:0 overruns:0 carrier:0
collisions:2 txqueuelen:100
RX bytes:1097628 (1.0 Mb) TX bytes:168907 (164.9 Kb)
Interrupt:11 Base address:0x1040
これは、以下のプライベートIPアドレスの範囲に入っていないようにみえます。
10.0.0.0--10.255.255.255
172.16.0.0--172.31.255.255
192.168.0.0--192.168.255.255
ということは、プライベートIPアドレスではないということですかね?もうちょっと調べてみます。
明日温泉なのに、すいません、、、、適当に切り上げてしまって結構です。本当にすいません。
> > > そうですか。OPTUSも同じかもしれませんね。後ほどしっかり調べてみます。OPTUSケーブルサービスでは、DHCPによるIPアドレス付与になっていますが、もしかしたら、これがプライベートアドレスだったりするのかもしれませんね、、、、これも調べてみます。
> >
> > 自分のIPアドレスは「ifconfig」で調べられます。こちらを参考にしてください。
> >
> > http://www.din.or.jp/~shimaden/tips/linux/tip0009.html
>
> はい、ありがとうございます。WAN側のIPアドレスは、210.49.154.156です。
アドレスは大丈夫ですね。ただ、HTTPS(443)を動かしていないのにopenになっているのだと、
駄目くさいですね。途中で応答しているような気がします。
HTTPSでの動かし方は、おやじのHPにありますので、参考にしてください。
https://www.aconus.com/~oyaji/ でアクセスできます。
本日はこれまでにしますので、もう少しいろいろ試してみてください。
> アドレスは大丈夫ですね。ただ、HTTPS(443)を動かしていないのにopenになっているのだと、
> 駄目くさいですね。途中で応答しているような気がします。
> HTTPSでの動かし方は、おやじのHPにありますので、参考にしてください。
> https://www.aconus.com/~oyaji/ でアクセスできます。
はい、しっかり勉強させていただきます。
> 本日はこれまでにしますので、もう少しいろいろ試してみてください。
はい、ありがとうございました。
パソコンおやじ様
温泉はいかがでしたか?うらやましいです。
ところで、サーバ公開ができない件で、プロバイダ側のAUP(Acceptable Use Policy)を調べてみました。やはり、おやじさんのおっしゃるとおりプロバイダ側でport80を止めていました。かつ、OptusNet上でwww、ftp等のサービスを行うことは禁じられていました、、、、色々と対応していただいたのに、すいません。これを違反すると、大変なことになるぞ!と、こちらのLINUXユーザの友人からもアドバイスをもらいました。(その友人は目を付けられていて、optus側からたびたびポートスキャンを受けているらしく、そのログも見せてもらいました)
Optusnetと今年10月までの契約なので、それが終わったら、規制のないADSLプロバイダに乗換えようと思います。オーストラリアでは、ネットインフラが全然だめで、高いし、回線品質悪いし、最悪です、、、日本がうらやましいっす。(温泉もいきたい)
ご参考までに、AUP関連の記述を載せておきます。
⇒Why did OptusNet Cable block Port 80?
OptusNet Cable has indefinitely blocked Port 80 as an active part of our network security program to contain the spread and combat further infection by the Code Red Worm.
The Code Red Worm is spread by computers running Microsoft Internet Information Server (IIS). Unfortunately a number of OptusNet Cable customers have set up this service on systems connected to the OptusNet Cable network. Running IIS is not only a security risk to all customers, but also a breach of the OptusNet Cable Acceptable Use Policy (AUP) Section 8.9 which does not allow the operation of any servers on the OptusNet Cable network.
パソコンおやじさん、お体に気をつけて、がんばってください。
また、色々と質問をするかもしれません、、、
そのときは、よろしくお願いいたします。
おはようございます。
> 温泉はいかがでしたか?うらやましいです。
ゆっくりとしてきました。
> ところで、サーバ公開ができない件で、プロバイダ側のAUP(Acceptable Use Policy)を調べてみました。やはり、おやじさんのおっしゃるとおりプロバイダ側でport80を止めていました。かつ、OptusNet上でwww、ftp等のサービスを行うことは禁じられていました、、、、色々と対応していただいたのに、すいません。これを違反すると、大変なことになるぞ!と、こちらのLINUXユーザの友人からもアドバイスをもらいました。(その友人は目を付けられていて、optus側からたびたびポートスキャンを受けているらしく、そのログも見せてもらいました)
今時、そんな暇があったらインフラの強化やセキュリティ強化等をしていかないと、ユーザから逃げられてしまうと思いますがね。 残念ですね。
> Optusnetと今年10月までの契約なので、それが終わったら、規制のないADSLプロバイダに乗換えようと思います。オーストラリアでは、ネットインフラが全然だめで、高いし、回線品質悪いし、最悪です、、、日本がうらやましいっす。(温泉もいきたい)
日本でも、CATVはいろいろと制約が多いのが普通です。おやじの会社は仕事の関係でIPsecを使用しますが、サーバ等は問題なくてもこれが通らない等、なかなか難しいですね。
> ⇒Why did OptusNet Cable block Port 80?
>
> OptusNet Cable has indefinitely blocked Port 80 as an active part of our network security program to contain the spread and combat further infection by the Code Red Worm.
> The Code Red Worm is spread by computers running Microsoft Internet Information Server (IIS). Unfortunately a number of OptusNet Cable customers have set up this service on systems connected to the OptusNet Cable network. Running IIS is not only a security risk to all customers, but also a breach of the OptusNet Cable Acceptable Use Policy (AUP) Section 8.9 which does not allow the operation of any servers on the OptusNet Cable network.
CodeRedなんて、ユーザの責任ですよね。屁理屈のような気がしますが。
> パソコンおやじさん、お体に気をつけて、がんばってください。
> また、色々と質問をするかもしれません、、、
> そのときは、よろしくお願いいたします。
ローカルでいろいろ試験しておくといいと思います。公開するとなかなか止められませんので。
今後ともよろしくお願いします。
このツリー参考非常に参考になりました。(ここまでたどり着くのが大変でしたが・・・)
症状:
自宅のネットワーク以外、たとえば、電話線でInternet接続したとき、
Webサーバー(Linux)にアクセスできない。
自宅ネットワークのクライアント(Windows2000)では、Webを表示できる。
ルータはLinksys BEFSR41 (Ver1.39J)
といった様子。
自分の症状と似ていたので、まずは、サービス会社に電話して聞いてみました。
「Port80をブロックしている。」とのこと。
やる気の無い、お兄ちゃんが回答してくれました。
もし、自分が間違っていたら、だれか教えてください。
ここは、Richmond, Vergina
加入しているのはVerizonのADSLのサービスです。
秋には帰国なので、いまさらサービス会社を乗り換えるのは・・・。
選択肢として、「ATTのADSL」と「cableのComcast」(前のATT Broadband)があります。
一応調べてみようかな???
ちなみにアメリカはADSLの導入は早かったけど、
あっという間に、日本に抜き去られた。768Kbps/128Kbpsがメインです。
というより、ダイヤルの方の加入者が多いと思う。(市内通話料は、基本料金に含むため)
Linuxを初めてさわって、あと一歩のところなのに・・・。
今度、ドイツに転勤って噂だけど、
ドイツもブロックされているのかな???
それよりドイツ語わかんないよなぁー(英語もだけど・・・)