Top過去ログ目次掲示板

作成日:2003年11月25日 作成:おやじ
掲示板で過去に質問された内容です。

No.2026 pingが通りません。当たり前ですか?


No.2026 投稿時間:2003年11月25日(Tue) 12:42 投稿者名:こう URL:
タイトル:pingが通りません。当たり前ですか?

今現在
ルータ→ハブ→パソコン3台(サーバ1台、クライアント2台)
という構成でネットワークを構築しています。

パソコンのゲートウエイはルータ(Aterm)をさすようにしました。

ルータの設定はおやじさんのホームページをみて
設定させて頂きました。

(たぶん、おやじさん宅の第三期□第四期
あたりの構成とにていると思います。)

サーバからクライアントへのpingが通りません。
(クライアントからサーバへのpingも通りません。)

これって当たり前ですか?


No.2027 投稿時間:2003年11月25日(Tue) 20:42 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:ファイヤウォールの設定でしょう。

> 今現在
> ルータ→ハブ→パソコン3台(サーバ1台、クライアント2台)
> という構成でネットワークを構築しています。
>
> パソコンのゲートウエイはルータ(Aterm)をさすようにしました。
>
> ルータの設定はおやじさんのホームページをみて
> 設定させて頂きました。
>
> (たぶん、おやじさん宅の第三期□第四期
> あたりの構成とにていると思います。)
>
> サーバからクライアントへのpingが通りません。
> (クライアントからサーバへのpingも通りません。)
>
> これって当たり前ですか?

 単に、HUB配下での通信ですからルータも関与していませんし、通らないのがおかしいです。
 どのサーバ、クライアントからもインターネットアクセスができているなら、物理層の問題もTCP層の問題もないので、残るのは各端末にインストールしてあるファイヤウォールの設定でしょう。試しに止めてみれば一目瞭然です。


No.2030 投稿時間:2003年11月26日(Wed) 11:48 投稿者名:こう URL:
タイトル:ずうずうしいのですが、さらに教えてください。

レスありがとうございます。
おやじさんの指摘の通り
ファイアウォールが原因でした。

ずうずうしいのですが、さらに教えてください。
私のネットワーク環境は、

ルータ(ATerm)→ハブ→パソコン

です。

ルータ(ATerm)は、おやじさんのホームページに記載されてる通りにし、
ファイアウォールはトレンドマイクロの
ウイルスバスター(パーソナルファイアウォール付)にしました。

ウイルスは心配していないのですが、ハッカー等に
襲われるのが心配です。

費用をかけてもいいですから、(低額が望ましいですが)
さらにセキュリティをより強固にするには、
どのようにしたらよいでしょうか?

案があったら、教えてください。


No.2033 投稿時間:2003年11月26日(Wed) 20:37 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:これならというのはありませんが。

こんばんは。

> おやじさんの指摘の通り
> ファイアウォールが原因でした。
>
> ずうずうしいのですが、さらに教えてください。
> 私のネットワーク環境は、
>
> ルータ(ATerm)→ハブ→パソコン
>
> です。
>
> ルータ(ATerm)は、おやじさんのホームページに記載されてる通りにし、
> ファイアウォールはトレンドマイクロの
> ウイルスバスター(パーソナルファイアウォール付)にしました。
>
> ウイルスは心配していないのですが、ハッカー等に
> 襲われるのが心配です。
>
> 費用をかけてもいいですから、(低額が望ましいですが)
> さらにセキュリティをより強固にするには、
> どのようにしたらよいでしょうか?

 企業が入れているような、本格的なファイヤウォールは個人では無理ですからできる範囲でということで、おやじの考え方ですが。

1. 外部からのアクセスは、なるべく入り口、即ちルータで止める。内部から外も、サーバ
 機からは極力止めたほうがよい。
2. 可能なら更に内側で止める。
3. パッチを見逃さずにあてること。
4. セキュリティホールが増えるので、不要なデーモン(人によるので差がある)はインス
 トールしない、動かさない。
5. なるべくサーバでWebアクセス等をしない。

 1項は、DMZでサーバ公開は行わず、必要なポートのみをサーバにマッピング。これだけ
で、かなり安全。フラグが使えないルータは逆にこれしかできない。フラグが使えればお
やじのように積極的に閉めたほうが良い。実は、おやじも内側から外を止めたいのですが、
WWWサーバテストの関係で、標準外ポートでサーバ公開されている方がかなりいるようで、
一度止めたらかなりログを吐いたので、今は開けてあります。標準のポートで公開できな
いのは何か理由があるはずなので、切り捨てようかとも思ったのですが、とりあえず開け
てありますが、閉めたほうが安全。
 2項は、ファイヤウォールでこれはトロイの木馬にも有効。但し、お任せのファイヤウ
ォールは逆にサーバ公開には困るケースがあり、ある程度、明示的にルールを書けないと
例えば、pingが通らないとか、標準外ポートでサーバ公開などのとき困る場合がある。お
やじは、クライアントはSygateを使わせてもらっている。(先に、ファイヤウォールを止
めてみたらといったのは、確認のためですから、原因がわかったので活かして、必要な設
定してあげてくださいよ。)
3項は、当然ですよね。例えば、ApacheでWeb公開していれば当然デーモンまで外部から
のパケットは到達しますので、そこのセキュリティホールがあればどうしようもないので。
 4項は、どのデーモンがどうかかわっているかを判別するのがなかなか難しいのですが、
明らかに使っていないものは、止めましょう。デフォルトでいろいろ動いています。
 5項は、変なウイルス等を拾ってこないためです。
 上記だけでも、十分安全ではないでしょうか?


No.2037 投稿時間:2003年11月27日(Thu) 10:51 投稿者名:こう URL:
タイトル:Re: これならというのはありませんが。

おはようございます。
ご指導ありがとうございました。

3□5は、意識しています。
1,2は自信がないです。(^_^;
また、今度質問しますので、
よろしくお願い致します。


No.2039 投稿時間:2003年11月27日(Thu) 17:02 投稿者名:OAK URL:http://kkk.nu/
タイトル:おやじさんが書かなかった注意点

おやじさんが書かなかった注意点。

1.不必要なサーバー公開しない。
  POP FTP などは本当に必要かをよく考えてください。
  自分だけのサーバーなら必要性はあまりありません。

2.他人に貸さない
  すぐ人に貸したがる方がおられますが、少なくとも1年ぐらいは貸さない事
  特にCGIやFTP

3.ファイヤーウォール
  FTPやPOPなどは無制限に開放しない。
  必要な相手のプロバイダードメインなどで制限する。
  jp だけの制限でも効果があります

4.監視
  ログに注意するのは当たり前。
  trapwireなどでhtmlやcgiシステム設定、デーモン設定などが変更になったらメールを出す

5.無線LAN
  何も設定せず使っていると、近所から入られます。
  アパートやマンションなどは要注意。



掲示板▲頁先頭