PR

カテゴリ

プロフィール

最新記事

注目の商品

Facebookページ

レビューマジック

こだわりモノを中心としたレビューブログ。商品評価、感想など

SRT100で安全に自宅サーバーを公開する(ルーター設定編)

2010.07.13/Tue/16:38:29

IMG_5063.jpgYAMAHA の高性能ファイヤーウォール・ルーター SRT100 で安全に自宅サーバーを公開する計画を立てました。

今回はその第二回目、ルーター設定編です。
【安全に別IPでサーバーを公開】

前回は、以下のような方針・条件でネットワーク設計を行いました。

  • CATVベースのインターネットサービスなので、Global IP が複数取得可能
  • 追加取得した Global IP を利用し、インターネットアクセス用一般ネットワークとは隔離した形式でサーバーを公開
  • サーバーは自室に置くが、そこに引き込まれているLANケーブルは1本だけなので、そのケーブルに2系統(セグメント)のTCP/IP通信を混在させ、ケーブル1本で2回線分の経路を確保する
  • ルーターはYAMAHAのSRT100を利用
  • 上流分岐ハブの節約のため、SRT100を通常とは反対のハブ側(LAN1側)をインターネット上流に向けて設定する


そのネットワーク設計は下記の通りです。

home_network05.png

プロバイダーは SRT100 の LAN1 側に対して Global IP を付与しますので、SRT100 は LAN1 側の Global IP を内部セグメントの Private IP(この図では 172.16.20.yyy)に変換して公開する設定が必要になります。

公開するサーバーの Private IP アドレスは 172.16.20.21 とし、ウェブページ(port 80)、SSLページ(port 443)、メール受信(port 25)を通過可能にすることを想定した設定を以下に掲げます。

login password *
administrator password *
description lan1 PRV/DHCP/38:
ip lan1 address dhcp
ip lan1 intrusion detection in on
ip lan1 intrusion detection in ip on reject=on
ip lan1 intrusion detection in ip-option on reject=on
ip lan1 intrusion detection in fragment on reject=on
ip lan1 intrusion detection in icmp on reject=on
ip lan1 intrusion detection in udp on reject=on
ip lan1 intrusion detection in tcp on reject=on
ip lan1 intrusion detection in default off
ip lan1 intrusion detection out on
ip lan1 intrusion detection out ftp on reject=on
ip lan1 intrusion detection out winny on reject=on
ip lan1 intrusion detection out share on reject=on
ip lan1 intrusion detection out default off
ip lan1 inbound filter list 1001 1002 1003 1004 1005 1006 1007 1008
ip lan1 nat descriptor 21 200
ip lan2 address 172.16.20.1/24
ip inbound filter 1001 reject-nolog * * tcp,udp * 135
ip inbound filter 1002 reject-nolog * * tcp,udp 135 *
ip inbound filter 1003 reject-nolog * * tcp,udp * netbios_ns-netbios_ssn
ip inbound filter 1004 reject-nolog * * tcp,udp netbios_ns-netbios_ssn *
ip inbound filter 1005 reject-nolog * * tcp,udp * 445
ip inbound filter 1006 reject-nolog * * tcp,udp 445 *
ip inbound filter 1007 reject-nolog 172.16.20.0/24 * * * *
ip inbound filter 1008 pass-nolog * * * * *
ip policy filter set 1 name="Experimental Server"
ip policy filter set enable 1
nat descriptor type 21 masquerade
nat descriptor address outer 21 primary
nat descriptor address inner 21 auto
nat descriptor masquerade incoming 21 reject
nat descriptor masquerade static 21 1 172.16.20.21 tcp www,https,smtp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
dns private address spoof on
schedule at 1 */* 03:58 * ntpdate ntp.nict.jp syslog
httpd host lan2
statistics cpu on
statistics memory on
statistics flow on
statistics route off
statistics nat off
statistics filter off



上記設定で、SRT100 の LAN1 インタフェースは、ISP からのグローバルIPアドレスを取得し、内部LANセグメントを 172.16.20.xxx に設定します。また、172.16.20.21 の IP アドレスのサーバーは、その port 80, 443, 25(それぞれ WEB, SSL, メール受信)の3つのポートのみをインターネット側に公開するように設定されます。

実際に、ルーターの取得した Global IP アドレスに対して、別PCから ping をかけるとレスポンスが返ってきますので、これでサーバー公開の準備は整ったと言えそうです。

次は、実際にサーバーを作成し、Web ページを公開して見たいと思います。


ヤマハ ファイアウォールルーター SRT100 SRT100ヤマハ ファイアウォールルーター SRT100 SRT100
()
ヤマハ

商品詳細を見る


【関連記事】
SRT100で安全に自宅サーバーを公開する(ネットワーク設計編)
SRT100で安全に自宅サーバーを公開する(ルーター設定編)
SRT100で安全に自宅サーバーを公開する(サーバー構築編)
web サーバーで SSH サービスを公開する場合
phpMyAdmin に対する攻撃について

-----
最後までご覧いただきまして、どうもありがとうございました。

関連記事
tb: 0 |  cm: 2
go page top

 

この記事に対するコメント

初めまして、館長さん。
SRT100で自分もサーバーを公開しているので参考にさせて貰いました。
自宅サーバーの公開を応援しています!
自分の環境はDDNSで、ルーターはSRT100の1台で運用しています。
フィルターでセキュリティーを高めて、ポリシーフィルターで細かいセキュリティーとグローバルIPを特定のPC(サーバー)へ誘導させています。
あと、各PCの回線負荷の均等でQOS(帯域制限)を使用したりしている感じでしょうか?
自分の知らないネットワーク設計なので興味があり、WEBの公開を楽しみにしています。
URL | kakasi #-
2010/07/17 03:30 * 編集 *

コメントありがとうございました

kakasi さま

夜遅くにコメントありがとうございました。(^^)

> 自宅サーバーの公開を応援しています!
> 自分の環境はDDNSで、ルーターはSRT100の1台で運用しています。

ありがとうございます。今のところ、実験的にサーバー公開することくらい しか考えてなくて、公開しても何を載せようかと思案中です。

そうですか。最近は個人で SRT100 を使う方も増えているのですね。 取得する Global IP が固定ではないため、今回私も DDNS を利用する予定です。 YAMAHA のルーターを使うと、netvolante の DDNS が無償で使えるのがありがたいです。

> フィルターでセキュリティーを高めて、ポリシーフィルターで細かいセキュリティーとグローバルIPを特定のPC(サーバー)へ誘導させています。

なるほど、今回は IPマスカレードによる公開ポート制限だけをサンプルに組み込みました。 「安全に公開する」というタイトルなので、補足記事として、各種フィルターを適用した 設定も後日提示してみたいと思います。

> あと、各PCの回線負荷の均等でQOS(帯域制限)を使用したりしている感じでしょうか?
> 自分の知らないネットワーク設計なので興味があり、WEBの公開を楽しみにしています。

ありがとうございます。私の環境では、実効回線速度 60Mbps がコンスタントに出ますので、 家庭用では十分です。下りよりも上りの方が高い位です。なので、特に仕組みを講じなくても、 家族からは文句は出ないはずです(笑)。したがいまして今のところ QOS は利用していません。 今後、実験的に組み込んで、動作するかどうかは検証したいとは思っています。

少々更新が滞っており、気にしておりました。 このようにご意見いただけますと大変励みになります。今日から3連休。時間がとれそうなので、何本か追加してキャッチアップしたいと思います。
URL | 館長 #NDV8FsUM
2010/07/17 09:32 * 編集 *
go page top

 

コメントの投稿















管理者にだけ表示を許可する

go page top

 

トラックバック

承認制としています。無関係なものは承認されない場合があります。
トラックバックURL
→http://ace.reviewmagic.jp/tb.php/261-d004168d
この記事にトラックバックする(FC2ブログユーザー)
go page top