ゼロから始めるLinuxサーバ構築
ルータの設定内容
前述の通り,ルータにはBA8000proを使用しているわけでありますが,その設定内容を簡単に説明します。まず,方針として
・外部→内部
- サーバを立ち上げる上で必要なポートは開放し,サーバのローカルIPへアドレス変換を行う。
- 必要なポート以外の通信はすべて遮断する。
・内部→外部
- あり得ないIPアドレスから(プライベートIPアドレスなど)のIPパケットは破棄する。
- プライベートIPアドレスが送信先のパケットは外に出さない。
- ウイルス攻撃にさらされやすいポートの通信は遮断する。
上記の方針に基づいて,BA-8000proの設定を行います。次の表は一例です。
●静的マスカレード(NAT)
| ID |
プロトコル |
リモートIPアドレス |
リモートポート |
外部IPアドレス |
外部ポート |
内部IPアドレス |
内部ポート |
| 10 |
tcp |
* |
* |
WAN側ポートIPアドレス |
80 |
192.168.0.200 |
外部ポート番号と同じ |
| 20 |
tcp |
* |
* |
WAN側ポートIPアドレス |
25,110 |
192.168.0.200 |
外部ポート番号と同じ |
ID欄は,設定の優先度を示します。あとからでも追加できるよう,適度に間をとっておいてください。サーバを公開する上で必要なポートを「外部ポート」で指定し,ローカルネットワークでのサーバのIPアドレス(ここでは192.168.0.200としている)を「内部IPアドレス」で指定します。
サーバが提供する主なサービスが必要とするポートは以下の通りです。
- HTTP --- 80
- FTP ---21
- SSH --- 20
- SMTP --- 25
- POP3 --- 110
●静的フィルタ(WAN0→LAN0)外部から内部へ
| ID |
動作 |
プロトコル |
tcpフラグ |
送信元IPアドレス |
送信元ポート |
送信先IPアドレス |
送信先ポート |
| 20 |
pass |
udp&tcp |
|
* |
* |
192.168.0.200 |
80,25,110 |
| 30 |
pass |
udp&tcp |
|
* |
* |
* |
1024-65534 |
| 64 |
discard(log) |
* |
|
* |
* |
* |
* |
ID欄については,NATの設定時と同様に適度に間をとってください。ID=20で指定している「送信先ポート」はNATの設定時におけるものと同様になります。
●静的フィルタ(LAN0→WAN0)内部から外部へ
| ID |
動作 |
プロトコル |
tcpフラグ |
送信元IPアドレス |
送信元ポート |
送信先IPアドレス |
送信先ポート |
| 1 |
discard |
* |
|
* |
* |
10.0.0.0/8 |
* |
| 2 |
discard |
* |
|
* |
* |
176.16.0.0/12 |
* |
| 4 |
discard |
* |
|
* |
* |
169.254.0.0/16 |
* |
| 5 |
discard |
* |
|
* |
* |
224.0.0.0/4 |
* |
| 10 |
discard |
udp&tcp |
|
* |
135,445 |
* |
* |
| 11 |
discard |
udp&tcp |
|
* |
* |
* |
135,445 |
| 12 |
discard |
udp&tcp |
|
* |
137-139 |
* |
* |
| 13 |
discard |
udp&tcp |
|
* |
* |
* |
137-139 |
| 64 |
pass |
* |
|
* |
* |
* |
* |
ここでは,送信先がプライベートIPアドレスになっているものを遮断し,135,445,137,138,139番ポートの通信も遮断するようにしている。
以上のような設定で,特に問題は起きていないので大丈夫だとは思います。もし,お気づきの点がございましたらメールでお知らせいただければ有り難いです。
補足−フレッツスクエアとのダブル接続−
BA8000proは,マルチ(2つ)セッション接続に対応しているので,フレッツスクエアとインターネットの同時接続が可能です。その方法をご紹介します。
- ルータの設定画面より,「接続設定」→「新規アカウント」を選択します。
- 接続方法から「PPPoE接続」を選択し,「次へ」を押します。
- 接続情報を入力します。
| アカウント名 |
flets(任意) |
| PPPoEユーザ名 |
(NTT東日本)guest@flets
(NTT西日本)flets@flets |
| PPPoEパスワード |
(NTT東日本)guest
(NTT西日本)flets |
| PPPoEパスワード再入力 |
(同上) |
| PPPoEサービス名 |
(空白) |
| PPP認証方式 |
接続相手にあわせる |
| WAN側IPアドレス設定方法 |
自動取得 |
| 固定WAN側IPアドレス |
(空白) |
| DNSサーバアドレス設定方法 |
自動取得 |
| プライマリDNSサーバアドレス |
(空白) |
| セカンダリDNSサーバアドレス |
(空白) |
| MSSサイズ |
1412 |
-
「保存」を押します。
-
ルータの設定画面より,「接続設定」→「アカウントの管理」を選択します。
-
インターネットに接続するためのPPPoEアカウントを「プライマリ」に,フレッツスクエアに接続するためのPPPoEアカウントを「セカンダリ」に設定します。
-
それぞれのアカウントの接続時間は,「常時」をおすすめしますが,適宜設定してください。
-
「設定」ボタンを押すとルータを再起動します。
-
これから先はルーティングの設定です。
ルータの設定画面より,「ルータ設定」→「DNSルーティング」を選択します。
-
「DNSルートの追加」を押します。
-
次の情報を入力します。
| DNSルートID |
32 |
| 送信元アドレス |
* |
| クエリタイプ |
すべて(ptr以外) |
| DNSクエリ |
.flets(ドット+flets) |
| インターフェイス |
flets |
| DNSサーバアドレス |
0.0.0.0 |
-
「設定」を押します
-
これから先はポリシールーティングの設定です。
ルータの設定画面より,「ルータ設定」→「ポリシールーティング」を選択します。
-
「ポリシールートの追加」を押します。
-
次の情報を入力します。
| ポリシールートID |
32 |
| プロトコル |
*(すべて) |
| 宛先 |
DNSルートID |
| 宛先IPアドレスまたはDNSルートID |
32 |
| 送信先ポート |
* |
| 送信元IPアドレス |
* |
| 送信元ポート |
* |
| ゲートウェイ |
0.0.0.0 |
| インターフェイス |
flets |
-
「設定」を押します。
-
「ポリシールートの追加」を押します。
-
次の情報を入力します。
| ポリシールートID |
31 |
| プロトコル |
*(すべて) |
| 宛先 |
アドレス |
| 宛先IPアドレスまたはDNSルートID |
10.60.0.0/16 |
| 送信先ポート |
|
| 送信元IPアドレス |
* |
| 送信元ポート |
|
| ゲートウェイ |
0.0.0.0 |
| インターフェイス |
flets |
-
ルータを再起動して完了です。
目次へ戻る
