PR

カテゴリ

プロフィール

最新記事

注目の商品

Facebookページ

レビューマジック

こだわりモノを中心としたレビューブログ。商品評価、感想など

SRT100で安全に自宅サーバーを公開する(ルーター設定編)

2010.07.13/Tue/16:38:29

IMG_5063.jpgYAMAHA の高性能ファイヤーウォール・ルーター SRT100 で安全に自宅サーバーを公開する計画を立てました。

今回はその第二回目、ルーター設定編です。
【安全に別IPでサーバーを公開】

前回は、以下のような方針・条件でネットワーク設計を行いました。

  • CATVベースのインターネットサービスなので、Global IP が複数取得可能
  • 追加取得した Global IP を利用し、インターネットアクセス用一般ネットワークとは隔離した形式でサーバーを公開
  • サーバーは自室に置くが、そこに引き込まれているLANケーブルは1本だけなので、そのケーブルに2系統(セグメント)のTCP/IP通信を混在させ、ケーブル1本で2回線分の経路を確保する
  • ルーターはYAMAHAのSRT100を利用
  • 上流分岐ハブの節約のため、SRT100を通常とは反対のハブ側(LAN1側)をインターネット上流に向けて設定する


そのネットワーク設計は下記の通りです。

home_network05.png

プロバイダーは SRT100 の LAN1 側に対して Global IP を付与しますので、SRT100 は LAN1 側の Global IP を内部セグメントの Private IP(この図では 172.16.20.yyy)に変換して公開する設定が必要になります。

公開するサーバーの Private IP アドレスは 172.16.20.21 とし、ウェブページ(port 80)、SSLページ(port 443)、メール受信(port 25)を通過可能にすることを想定した設定を以下に掲げます。

login password *
administrator password *
description lan1 PRV/DHCP/38:
ip lan1 address dhcp
ip lan1 intrusion detection in on
ip lan1 intrusion detection in ip on reject=on
ip lan1 intrusion detection in ip-option on reject=on
ip lan1 intrusion detection in fragment on reject=on
ip lan1 intrusion detection in icmp on reject=on
ip lan1 intrusion detection in udp on reject=on
ip lan1 intrusion detection in tcp on reject=on
ip lan1 intrusion detection in default off
ip lan1 intrusion detection out on
ip lan1 intrusion detection out ftp on reject=on
ip lan1 intrusion detection out winny on reject=on
ip lan1 intrusion detection out share on reject=on
ip lan1 intrusion detection out default off
ip lan1 inbound filter list 1001 1002 1003 1004 1005 1006 1007 1008
ip lan1 nat descriptor 21 200
ip lan2 address 172.16.20.1/24
ip inbound filter 1001 reject-nolog * * tcp,udp * 135
ip inbound filter 1002 reject-nolog * * tcp,udp 135 *
ip inbound filter 1003 reject-nolog * * tcp,udp * netbios_ns-netbios_ssn
ip inbound filter 1004 reject-nolog * * tcp,udp netbios_ns-netbios_ssn *
ip inbound filter 1005 reject-nolog * * tcp,udp * 445
ip inbound filter 1006 reject-nolog * * tcp,udp 445 *
ip inbound filter 1007 reject-nolog 172.16.20.0/24 * * * *
ip inbound filter 1008 pass-nolog * * * * *
ip policy filter set 1 name="Experimental Server"
ip policy filter set enable 1
nat descriptor type 21 masquerade
nat descriptor address outer 21 primary
nat descriptor address inner 21 auto
nat descriptor masquerade incoming 21 reject
nat descriptor masquerade static 21 1 172.16.20.21 tcp www,https,smtp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
dns private address spoof on
schedule at 1 */* 03:58 * ntpdate ntp.nict.jp syslog
httpd host lan2
statistics cpu on
statistics memory on
statistics flow on
statistics route off
statistics nat off
statistics filter off



上記設定で、SRT100 の LAN1 インタフェースは、ISP からのグローバルIPアドレスを取得し、内部LANセグメントを 172.16.20.xxx に設定します。また、172.16.20.21 の IP アドレスのサーバーは、その port 80, 443, 25(それぞれ WEB, SSL, メール受信)の3つのポートのみをインターネット側に公開するように設定されます。

実際に、ルーターの取得した Global IP アドレスに対して、別PCから ping をかけるとレスポンスが返ってきますので、これでサーバー公開の準備は整ったと言えそうです。

次は、実際にサーバーを作成し、Web ページを公開して見たいと思います。



【関連ページ】
SRT100で安全に自宅サーバーを公開する(ネットワーク設計編)
SRT100で安全に自宅サーバーを公開する(ルーター設定編)
SRT100で安全に自宅サーバーを公開する(サーバー構築編)
web サーバーで SSH サービスを公開する場合
phpMyAdmin に対する攻撃について

-----
最後までご覧いただきまして、どうもありがとうございました。

関連記事
tb: 0 |  cm: 2
go page top

 

この記事に対するコメント

初めまして、館長さん。
SRT100で自分もサーバーを公開しているので参考にさせて貰いました。
自宅サーバーの公開を応援しています!
自分の環境はDDNSで、ルーターはSRT100の1台で運用しています。
フィルターでセキュリティーを高めて、ポリシーフィルターで細かいセキュリティーとグローバルIPを特定のPC(サーバー)へ誘導させています。
あと、各PCの回線負荷の均等でQOS(帯域制限)を使用したりしている感じでしょうか?
自分の知らないネットワーク設計なので興味があり、WEBの公開を楽しみにしています。
URL | kakasi #-
2010/07/17 03:30 * 編集 *

コメントありがとうございました

kakasi さま

夜遅くにコメントありがとうございました。(^^)

> 自宅サーバーの公開を応援しています!
> 自分の環境はDDNSで、ルーターはSRT100の1台で運用しています。

ありがとうございます。今のところ、実験的にサーバー公開することくらい しか考えてなくて、公開しても何を載せようかと思案中です。

そうですか。最近は個人で SRT100 を使う方も増えているのですね。 取得する Global IP が固定ではないため、今回私も DDNS を利用する予定です。 YAMAHA のルーターを使うと、netvolante の DDNS が無償で使えるのがありがたいです。

> フィルターでセキュリティーを高めて、ポリシーフィルターで細かいセキュリティーとグローバルIPを特定のPC(サーバー)へ誘導させています。

なるほど、今回は IPマスカレードによる公開ポート制限だけをサンプルに組み込みました。 「安全に公開する」というタイトルなので、補足記事として、各種フィルターを適用した 設定も後日提示してみたいと思います。

> あと、各PCの回線負荷の均等でQOS(帯域制限)を使用したりしている感じでしょうか?
> 自分の知らないネットワーク設計なので興味があり、WEBの公開を楽しみにしています。

ありがとうございます。私の環境では、実効回線速度 60Mbps がコンスタントに出ますので、 家庭用では十分です。下りよりも上りの方が高い位です。なので、特に仕組みを講じなくても、 家族からは文句は出ないはずです(笑)。したがいまして今のところ QOS は利用していません。 今後、実験的に組み込んで、動作するかどうかは検証したいとは思っています。

少々更新が滞っており、気にしておりました。 このようにご意見いただけますと大変励みになります。今日から3連休。時間がとれそうなので、何本か追加してキャッチアップしたいと思います。
URL | 館長 #NDV8FsUM
2010/07/17 09:32 * 編集 *
go page top

 

コメントの投稿













管理者にだけ表示を許可する

go page top

 

トラックバック

承認制としています。無関係なものは承認されない場合があります。
トラックバックURL
→https://ace.reviewmagic.jp/tb.php/261-d004168d
この記事にトラックバックする(FC2ブログユーザー)
go page top