初めて投稿します。おやじさんには、大変ご迷惑をおかけしました。お許しください。
Webをインターネットで公開したいと思い、FedoraCoreの本を買って、本通りにメールサーバーやWebサーバーをインストールをして、
いざ動かそうとしましたが、メールサーバーでエラーが起こります。また、外部からのWebサーバーにもアクセスできません。FTPでは接続できます。また、メールサーバーで送信しようとすると「ポートに接続できません」とのことです。また、popサーバー、SMTPサーバーともにエラーが出ます。ブロードバンドルターは沖電気のBR10A−C2Hです。ルーターの設定からしてわかりません。とりあえず、予約マッピングで、いろいろポートを設定したのですが、ポートに接続できません。
悩んで悩んで、おやじ様にメールを送ってしまいましたが、ポートをむやみに開放しては駄目だと注意をいただきました。
一日考えたのですが、どうしても、Webサーバーを構築してみたいです。セキュリチーの設定や、ポートの設定などいろいろ作業があるのですが、どこから手をつけていいのかまったくわかりません。
だれかアドバイス、などお願い申し上げます。
設定1:予約マッピング(ポートフォワーディング)の設定方法
設定2:ポートフィルタ(パケットフィルタリング)の設定方法
設定3:DMZ機能の設定方法
設定4:ファイアーウォールの設定方法
設定5:ブリッジ接続への切り替え方法
など沢山設定があります。設定1だけでは、ポートに接続できないのでしょうか?また、侵入者を防ぐための設定はどうすればよいのでしょうか?とりあえずは、この2点から教えてください。よろしくお願い申し上げます。本当に、失礼な質問かもしれませんが、お願い申し上げます。
これは、勉強のため私だけのサーバー構築の流れなので、正しいかどうかはともかくとして
1.ルーターについては内部的なネットワークを静的に構築していること(ネットワーク192.168.1.0だとして)
★サーバーが動くのであればDHCPは使わない
2.ルーターに対してのGUIでの接続環境でルーター自身のアドレスがふつうは192.168.1.1などで接続できるはずです
3.この時点で市販のルーターではブラウザから各種設定画面がでるはずです
4.フィルタリングは本来、最優先なのですがネットワーク上検証用PCおよびその他PC上でソフト的ファイアーウォールが設定できているのであれば、サーバーは再インストール覚悟でいきましょう
★検証用PCは必要かと思います(しょぼくてもいい!)
上記例だと例えば
ネットアドレス 192.168.1.0
サブネットマスク 255.255.255.0
ゲートウェイ 192.168.1.1
検証用PC 192.168.1.10(たとえば)
サーバーアドレス 192,168.1.100(たとえば)
★ネットアドレス192.168.1.0、192.168.1.255、ゲートウェイ 192.168.1.1、その他のネット内で設定してある192.168.0.*は除外して決めること
★DHCPは使ってもいいですが、アドレスの範囲設定は上記の事柄を考えて使いましょう
ここからやっとサーバー構築のテストができます
★サーバーのセキュリティは考慮していません
ですからメールサーバーその他FTPなどを動かすのは大変危険なので構築は後回しにされた方がよろしいかと
自宅サーバーを動かすのであれば
とりあえずはHTTPDだけテストしてその間にルーターのフィルタリングをある程度しっかり自分のものにしないと、とても恐ろしくて自宅でのサーバー運営なんかできません
5.サーバーテストは自宅でLAN上できればWANでも可能なはずです
6.この後ルーターの80番ポートをあけルーターから内部のサーバーに向けてのポートフォワーディングが順序だと思います
7.これができればあとのサービスについても同じ流れなのでひとつ、ひとつ順番にこなしていくこと重要かと思うのですが
ちなみに私は最初のうちはセキュリティ以前にサーバーまともに動きませんでした
すこし気になります
> 設定5:ブリッジ接続への切り替え方法
ということはADSLモデムとして機能させるということなのですか?
モデム兼ルーターとして活用した方がいいのではないでしょうか?
サーバーでもPPOe接続できますしフィルタリングできますが、これは非常につらいですよ
なぜかというとルーター機能はルーターで解決しておかないと、はじめのうちはサーバーテストの連続なのでその都度やり直ししないといけませんから
このルーターが自宅サーバーに向いているものか調べてみましたか?
調べてみましたがあまり多機能でないような感じがします
(自宅サーバーで使われてる方が少ないようです)
市販ルーターにはプロバイダー自体、自宅サーバー構築など考えていない(要は使って欲しくない)ものが多数あります
そういうルーターはグローバルアドレスからプライベートアドレス変換はできますが基本的には全部のパケットは通すような前提です
ですからフィルタリングなんてできないし、できてもバグがおおいので実際にはきちんと設定したつもりでもパケットが洩れてるなんてことが多々過去にありましたし、バグのおかげで開けたはずのポートが届かない場合も多々ありました
本来はポートを開ける作業とフォワーディングとは別なのですが市販ルーターは同じようです
>沖電気のBR10A−C2Hです。ルーターの設定からしてわかりません。とりあえず、予約マッピングで、いろいろポートを設定したのですが、ポートに接続できません。
設定方法を少し見てみたのですが
> 設定1:予約マッピング(ポートフォワーディング)の設定方法
> 設定3:DMZ機能の設定方法
これが、ポートフォワーディングみたいな感じです
> 設定4:ファイアーウォール
セキュリティ
これで、フィルタリングみたいです
セキュリティ状態の状態変更でできるのでは?
★DMZ機能とは「インターネット側(WAN側)から発信された全てのIPフレームを、LAN内の特定のIPアドレスへ転送する機能」です。
この機能により、ADSLモデムよりLAN側のパソコンでWWWサーバーを運用することや、ネットワークゲームを行うこと等が可能となります。
・DMZホスト機能を使用する場合、転送先に設定したパソコン・IPアドレスは、セキュリティが低下しますので注意して下さい。
・TCP、UDP、ICMP以外のプロトコルを使用するソフトウェアは、DMZホスト機能を有効にしても動作いたしません。★
この辺の詳細設定はおやじさまのルーターのフィルタリングが参考になります
これで、できなければファームウェアを書き換えてみる作業が必要かと思います
kazu様、お返事ありがとうございました。お返事を頂いただけでも嬉しく思います。
> このルーターが自宅サーバーに向いているものか調べてみましたか?
多分、自宅サーバーに向いてないのかも知れません。が、平成電電の格安ADSLのモデムなので、一応、このモデムを使用してみようと思います。きっちり、セキュリティーの強化をしなければ、むやみにポート設定してはいけないのですね。
まず、何台かある家庭内LANを組んでみます。プライベートIPアドレスを個々につけてやればいいのですよね。それと、DMZ機能は使わないほうがいいようですね。プロトコールはTCPを使うつもりなので、問題はないと思います。
> > 設定1:予約マッピング(ポートフォワーディング)の設定方法
> これが、ポートフォワーディングみたいな感じです
僕もそう思います。ポートが開かないのはバグかもしれませんが、とにかくもう一度家庭内LANができてから、いろいろしてみます。
> > 設定4:ファイアーウォール
>
> セキュリティ
>
> これで、フィルタリングみたいです
>
> セキュリティ状態の状態変更でできるのでは?
>
> ★DMZ機能とは「インターネット側(WAN側)から発信された全てのIPフレームを、LAN内の特定のIPアドレスへ転送する機能」です。
> この機能により、ADSLモデムよりLAN側のパソコンでWWWサーバーを運用することや、ネットワークゲームを行うこと等が可能となります。
> ・DMZホスト機能を使用する場合、転送先に設定したパソコン・IPアドレスは、セキュリティが低下しますので注意して下さい。
> ・TCP、UDP、ICMP以外のプロトコルを使用するソフトウェアは、DMZホスト機能を有効にしても動作いたしません。★
>
> この辺の詳細設定はおやじさまのルーターのフィルタリングが参考になります
>
> これで、できなければファームウェアを書き換えてみる作業が必要かと思います
ファームウェイの書き換えも、なんだか自身がないので、最後の手段にとっておきます。
フィルタリングを設定すると、ネット証券などのパスワード画面が出なくなりのかもしれませんが、いろいろしてみます。
ありがとうございました。
ただ、ルーターの変更も考えてのですが、その場合、モデムも一台追加しなければならないので、平成電電の接続に自身がありません。しばらく、この環境で頑張ってみます。モデムのメーカーや、プロバイダーのサポートが受けれないのが残念で仕方ありません。また、今後ともよろしくお願い申し上げます。
まずは、webサーバを家庭内できっちり動かし、家庭内でうまく見えることを確認(ドメイン名ではなくサーバのプライベートアドレス)する。
後はルータで80番ポートをサーバのプライベートアドレスにポートマッピング(前の設定で問題ないはず。WANに0.0.0.0を設定しても表示はそのときのグローバルアドレスが出る仕様なのでしょう。)して、おやじのWWWサーバテストをすれば見えるはず。
NAT自体が一種のフィルタですから、フィルタはデフォルトでOKです。サーバ機はアドレスを固定すること。(ポートマッピングできなくなるのでDHCPで振らないこと。)
Webが動いたらコンテンツアップのFTP。サーバにアクセスできる仕組みがぼんやりとでも見えてこないとメールは危険です。あせらずにじっくりと・・・。
下記をじっくり読んでみてください。
http://www.aconus.com/~oyaji/router/router.htm
http://www.aconus.com/~oyaji/router/www_tst.htm
おやしさん、kazuさん、ありがとうございます。感謝、感激です。