はじめまして。ほえほえと申します。
会社で鯖をたてたときからお世話になっております。
そのときはRedHat7.2でLinuxが何もわからない状況で貴殿のHPのおかげで
たすかりました。
実は今回Bフレッツが開通したので、自宅でもWeb鯖を公開してみようといろいろ
設定してみたのですが・・・BA8000PROが言うことを聞いてくれません。
状況としましては・・・
OSはRedHatの9.0です。ルータのFirmは最新の末尾38を入れています。
プライマリ・セカンダリにLANをそれぞれ分けてVLANでグループを設定して、
セグメントも変えてました。ステルスは無効です。
静的マスカレード・フィルタで通過を指定しても、SYGATEでスキャンしてみると
すべてクローズになってしまいます。フィルタをすべて通過の状況にして
マスカレードだけにしても、まったくポートをあけてくれません。
初期化も2度ほど行いましたが、症状はまったく改善されません。
ただ、なぜかSSHだけは設定するとOPENになります(^^;
それ以外は特に設定してないんですが、なにがいけないのかさっぱり
わかりません。もちろんRedHatのFWを切ってもぜんぜんだめなのです。
会社のアライドテレシスAR720の方が簡単だったなあと思う今日この頃。
BA8000PROで無事に運用をなさっているようなので、もしなにかアドバイスが
ありましたらお願い致します。
こんばんは。
> OSはRedHatの9.0です。ルータのFirmは最新の末尾38を入れています。
> プライマリ・セカンダリにLANをそれぞれ分けてVLANでグループを設定して、
> セグメントも変えてました。ステルスは無効です。
> 静的マスカレード・フィルタで通過を指定しても、SYGATEでスキャンしてみると
> すべてクローズになってしまいます。フィルタをすべて通過の状況にして
> マスカレードだけにしても、まったくポートをあけてくれません。
> 初期化も2度ほど行いましたが、症状はまったく改善されません。
> ただ、なぜかSSHだけは設定するとOPENになります(^^;
>
> それ以外は特に設定してないんですが、なにがいけないのかさっぱり
> わかりません。もちろんRedHatのFWを切ってもぜんぜんだめなのです。
> 会社のアライドテレシスAR720の方が簡単だったなあと思う今日この頃。
>
> BA8000PROで無事に運用をなさっているようなので、もしなにかアドバイスが
> ありましたらお願い致します。
これだけを読むと、何で動かないのとなりますが、バグでもない限りそうなるように
設定されているだけと思います。こういう場合、調査過程でいろいろ設定をいじっている
はずですので、実は見逃していることがあるはずです。
しかし、SSHはOpenになると言うのを聞くと、フィルタをかけてなければ、静的マスカレード
しか違いは無いはずなので、ミスするはずも無く、サーバ側の問題にしか見えません。
家庭内では間違いなく各デーモンは動いているのですよね。ログにアクセスログは残ってない
ですかね。Etherealでパケットキャプチャしてみるのが早そうですが。
サーバまで来ているが、サーバが返していないのか、サーバは返しているのに止まっている
のかで、止まっているところが限定できますので。
> しかし、SSHはOpenになると言うのを聞くと、フィルタをかけてなければ、静的マスカレード
> しか違いは無いはずなので、ミスするはずも無く、サーバ側の問題にしか見えません。
> 家庭内では間違いなく各デーモンは動いているのですよね。ログにアクセスログは残ってない
> ですかね。Etherealでパケットキャプチャしてみるのが早そうですが。
> サーバまで来ているが、サーバが返していないのか、サーバは返しているのに止まっている
> のかで、止まっているところが限定できますので。
丁寧にご返事頂きましてありがとうございます。
デーモンは現状SSHとFTPのみです。というかFTPの接続テストをしようと
おやじ様のFTPテストを利用したのですが、エラー500がでました。
それでポートスキャンしてみたら全く開いていない事実が判明しまして・・・
RedHutの方でもインスト時にFWをFTP.WWW.SSHをあけるようにしているので、
とりあえずOPENになるのかと思ったのですが、デーモンが動いてないと開かないもの
なのでしょうか?
追伸ですが、Linuxでのパケットキャプチャの方法がわかりません。
もしよろしければご教授お願い致します。
こんばんは。
> 丁寧にご返事頂きましてありがとうございます。
> デーモンは現状SSHとFTPのみです。というかFTPの接続テストをしようと
> おやじ様のFTPテストを利用したのですが、エラー500がでました。
> それでポートスキャンしてみたら全く開いていない事実が判明しまして・・・
> RedHutの方でもインスト時にFWをFTP.WWW.SSHをあけるようにしているので、
> とりあえずOPENになるのかと思ったのですが、デーモンが動いてないと開かないもの
> なのでしょうか?
そうです。openとは、あるデーモン(ポート)向けに投げたパケットに対してデーモンから正常な応答(パケットレベルでいうと、synに対してsyn.ackが帰ってきた時。HPのTCP/IP通信の概要を見てください)があったと言うことであり、フィルタが効いていたりデーモンが動いておらずパケットが戻ってこなければ、closeとなります。
セッション開始に対して拒否パケットが帰った場合をcloseとして、何も戻ってこないのをstealthとする場合もあります。
FTPテストの500番はFTPデーモンが動いていないのだと思います。基本的な制御コネクション(21番)が張れないときのエラーです。
etherealについては、下記あたりはどうでしょうか。Windowsで説明されていますが、RHでもオペレーションは同じです。rh9ならdisc2にrpmが入っています。おやじはWindowsクライアントにも入れてあり、サーバ側で見たりクライアント側で見たりしています。
http://www.tomnetwork.net/jissyuu/Ethereal/HowToUse.htm
すいません、Apacheいれて起動してみたら問題なくOPENになりました。
なぜ22がOPENになったかと思ったらデフォルトで起動になるようになっていたんですね・・・
てっきりサーバー関係はインストしない設定にしていたので、まさか入っているとは思いませんでした。
インストしていないSSHポートがOPEN->ほかのポートもルーターで開ければOPENになると思いこんで
しまった次第です。ネットワーク素人の恐ろしいところです。こんな自分が会社のVPNを
よく設定できたなと別な意味で感心してしまいました(苦笑
FTPも問題あったんですね・・・がんばって設定し直します。
ご紹介頂いたetherealにもチャレンジしてみようと思っております。
お騒がせして申し訳ありませんでした(^^;
ところで関係ないですが、Winクライアントからルーター越えでSambaにアクセスする場合は
LMHOSTSをクライアントに設定するだけでいいんですよね?
会社のVPN設定の時はすべてWinでしたし、NTサーバにWINSがあったので問題なかったのですが
今回Linuxの共有設定ははじめてなもので。
こんばんは。
> ところで関係ないですが、Winクライアントからルーター越えでSambaにアクセスする場合は
> LMHOSTSをクライアントに設定するだけでいいんですよね?
> 会社のVPN設定の時はすべてWinでしたし、NTサーバにWINSがあったので問題なかったのですが
> 今回Linuxの共有設定ははじめてなもので。
nmbdがwinsとして動作するので、winsのほうが管理が簡単なのでいいと思いますが、LMHOSTSでもOKです。
ネットワークドライブで使っているので、見えなくても何の問題もないのでほったらかしにしてあるのですが、ルータ越えでのコンピュータ一覧はまだできていません。