SRT100で安全に自宅サーバーを公開する(ルーター設定編)
2010.07.13/Tue/16:38:29
前回は、以下のような方針・条件でネットワーク設計を行いました。
- CATVベースのインターネットサービスなので、Global IP が複数取得可能
- 追加取得した Global IP を利用し、インターネットアクセス用一般ネットワークとは隔離した形式でサーバーを公開
- サーバーは自室に置くが、そこに引き込まれているLANケーブルは1本だけなので、そのケーブルに2系統(セグメント)のTCP/IP通信を混在させ、ケーブル1本で2回線分の経路を確保する
- ルーターはYAMAHAのSRT100を利用
- 上流分岐ハブの節約のため、SRT100を通常とは反対のハブ側(LAN1側)をインターネット上流に向けて設定する
そのネットワーク設計は下記の通りです。

プロバイダーは SRT100 の LAN1 側に対して Global IP を付与しますので、SRT100 は LAN1 側の Global IP を内部セグメントの Private IP(この図では 172.16.20.yyy)に変換して公開する設定が必要になります。
公開するサーバーの Private IP アドレスは 172.16.20.21 とし、ウェブページ(port 80)、SSLページ(port 443)、メール受信(port 25)を通過可能にすることを想定した設定を以下に掲げます。
login password *
administrator password *
description lan1 PRV/DHCP/38:
ip lan1 address dhcp
ip lan1 intrusion detection in on
ip lan1 intrusion detection in ip on reject=on
ip lan1 intrusion detection in ip-option on reject=on
ip lan1 intrusion detection in fragment on reject=on
ip lan1 intrusion detection in icmp on reject=on
ip lan1 intrusion detection in udp on reject=on
ip lan1 intrusion detection in tcp on reject=on
ip lan1 intrusion detection in default off
ip lan1 intrusion detection out on
ip lan1 intrusion detection out ftp on reject=on
ip lan1 intrusion detection out winny on reject=on
ip lan1 intrusion detection out share on reject=on
ip lan1 intrusion detection out default off
ip lan1 inbound filter list 1001 1002 1003 1004 1005 1006 1007 1008
ip lan1 nat descriptor 21 200
ip lan2 address 172.16.20.1/24
ip inbound filter 1001 reject-nolog * * tcp,udp * 135
ip inbound filter 1002 reject-nolog * * tcp,udp 135 *
ip inbound filter 1003 reject-nolog * * tcp,udp * netbios_ns-netbios_ssn
ip inbound filter 1004 reject-nolog * * tcp,udp netbios_ns-netbios_ssn *
ip inbound filter 1005 reject-nolog * * tcp,udp * 445
ip inbound filter 1006 reject-nolog * * tcp,udp 445 *
ip inbound filter 1007 reject-nolog 172.16.20.0/24 * * * *
ip inbound filter 1008 pass-nolog * * * * *
ip policy filter set 1 name="Experimental Server"
ip policy filter set enable 1
nat descriptor type 21 masquerade
nat descriptor address outer 21 primary
nat descriptor address inner 21 auto
nat descriptor masquerade incoming 21 reject
nat descriptor masquerade static 21 1 172.16.20.21 tcp www,https,smtp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
dns private address spoof on
schedule at 1 */* 03:58 * ntpdate ntp.nict.jp syslog
httpd host lan2
statistics cpu on
statistics memory on
statistics flow on
statistics route off
statistics nat off
statistics filter off
上記設定で、SRT100 の LAN1 インタフェースは、ISP からのグローバルIPアドレスを取得し、内部LANセグメントを 172.16.20.xxx に設定します。また、172.16.20.21 の IP アドレスのサーバーは、その port 80, 443, 25(それぞれ WEB, SSL, メール受信)の3つのポートのみをインターネット側に公開するように設定されます。
実際に、ルーターの取得した Global IP アドレスに対して、別PCから ping をかけるとレスポンスが返ってきますので、これでサーバー公開の準備は整ったと言えそうです。
次は、実際にサーバーを作成し、Web ページを公開して見たいと思います。
【関連ページ】
SRT100で安全に自宅サーバーを公開する(ネットワーク設計編)
SRT100で安全に自宅サーバーを公開する(ルーター設定編)
SRT100で安全に自宅サーバーを公開する(サーバー構築編)
web サーバーで SSH サービスを公開する場合
phpMyAdmin に対する攻撃について
-----
最後までご覧いただきまして、どうもありがとうございました。
« SRT100で安全に自宅サーバーを公開する(サーバー構築編)
VISA のブラックカード "INFINITE" »
この記事に対するコメント
SRT100で自分もサーバーを公開しているので参考にさせて貰いました。
自宅サーバーの公開を応援しています!
自分の環境はDDNSで、ルーターはSRT100の1台で運用しています。
フィルターでセキュリティーを高めて、ポリシーフィルターで細かいセキュリティーとグローバルIPを特定のPC(サーバー)へ誘導させています。
あと、各PCの回線負荷の均等でQOS(帯域制限)を使用したりしている感じでしょうか?
自分の知らないネットワーク設計なので興味があり、WEBの公開を楽しみにしています。
2010/07/17 03:30 * 編集 *
コメントありがとうございました
kakasi さま夜遅くにコメントありがとうございました。(^^)
> 自宅サーバーの公開を応援しています!
> 自分の環境はDDNSで、ルーターはSRT100の1台で運用しています。
ありがとうございます。今のところ、実験的にサーバー公開することくらい しか考えてなくて、公開しても何を載せようかと思案中です。
そうですか。最近は個人で SRT100 を使う方も増えているのですね。 取得する Global IP が固定ではないため、今回私も DDNS を利用する予定です。 YAMAHA のルーターを使うと、netvolante の DDNS が無償で使えるのがありがたいです。
> フィルターでセキュリティーを高めて、ポリシーフィルターで細かいセキュリティーとグローバルIPを特定のPC(サーバー)へ誘導させています。
なるほど、今回は IPマスカレードによる公開ポート制限だけをサンプルに組み込みました。 「安全に公開する」というタイトルなので、補足記事として、各種フィルターを適用した 設定も後日提示してみたいと思います。
> あと、各PCの回線負荷の均等でQOS(帯域制限)を使用したりしている感じでしょうか?
> 自分の知らないネットワーク設計なので興味があり、WEBの公開を楽しみにしています。
ありがとうございます。私の環境では、実効回線速度 60Mbps がコンスタントに出ますので、 家庭用では十分です。下りよりも上りの方が高い位です。なので、特に仕組みを講じなくても、 家族からは文句は出ないはずです(笑)。したがいまして今のところ QOS は利用していません。 今後、実験的に組み込んで、動作するかどうかは検証したいとは思っています。
少々更新が滞っており、気にしておりました。 このようにご意見いただけますと大変励みになります。今日から3連休。時間がとれそうなので、何本か追加してキャッチアップしたいと思います。
2010/07/17 09:32 * 編集 *
トラックバック
トラックバックURL
→https://ace.reviewmagic.jp/tb.php/261-d004168d
この記事にトラックバックする(FC2ブログユーザー)
| h o m e |