IPFWの設定について
- IPFWによるファイアウォール設定でインターネット接続ができない状況になってしまった
- IPFWのルールをどのように書けば、パケットを制御しつつインターネット接続ができるか疑問
- インターネット接続できない原因について、80番ポートの開放だけでは解決しない可能性がある
- ベストアンサー
IPFWの設定について。
現在、DMZの構成でネットワークを組んでいます。 学校の教室内に小さなLANを作っているので、このLANを出たとしても そこが教室内ネットワークとなるので実際はそこから外にでて初めてインターネットに 接続できるようになっています。 Internet ⇔ 教室内ネットワーク ⇔ LAN(5台) このLAN内のルータとなるマシンはFreeBSDとなっており、ここでNATによるアドレス変換を行っています。 そして今、このルータマシンにIPFWでファイアウォールを作りました。 基本的には、 内部のPCからInternetに接続させる 教室内ネットワークからのアクセスは基本的に防ぐ 教室内ネットワークからのWebサーバに対するアクセスは許可 FTPサーバに対しても許可する SSHも許可する というような感じで、HTTPの80番ポートを空けていれば内部LANからインターネットに 接続できるかと思いましたが、IPFWを実行するとインターネットすらのぞけなくなりました。 ほかに、FTPの20、21ポートやSSHの22をあけていても通じません。 IPFWの設定を無効にしていればインターネットなど通信は自由にできるのですが・・・。 とりあえず、まずはIPFWでパケットを制御しつつも最低でもインターネットぐらい接続できる状態を確保したいと思っています。 この場合においてIPFWのルールはどのように書いたらいいのでしょうか? 単純に80番ポートをあければいいというものではないのでしょうか? また、今現在インターネットに接続できないというその原因にはどのようなものがあげられるでしょうか? おねがいします。m(-_-)m
- usui323
- お礼率84% (351/415)
- ネットワーク
- 回答数1
- ありがとう数2
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
どの程度 TCP/IP の知識をお持ちかが分からないのですが、パケットには行きと帰りがありますので、80/TCP を開けるといってもどっちからどっちに開けるかで全く意味が違います。また IPFW に限らず、ネットワークインターフェース毎にルール設定する必要がありますので、その辺も要注意です。 参考 URL は何年も前から FreeBSD コミュニティでも評判の高いページですので、是非ご一読下さい。
関連するQ&A
- ルータでのftpに関するフィルタリング設定について
YamahaRT54iというブロードバンドルータを利用しております。 このルータのパケットフィルタリング設定項目に、 インターネットからローカルネットワークへの、送信元ポートが20番のものについては、通過を許可するという設定があります。 これはつまりftpの設定で、ftpでパッシブモードではなくアクティブモードで通信する場合、ファイル転送用の通信路としてftpサーバーの20番ポートからクライアントであるこちら側へ経路が張られるから、これを許可しないと暗黙のdenyによってはじかれてしまいftp通信がうまくいかなくなることへの回避策なのですが、 これがオンにされることでどうしてftp通信がうまくいくのか理解できません。 というのもローカルネットワークはルータのNATによって隠蔽されているはずで、たとえローカルネットワークへのftpdata通信を許可したところで、送信先のローカルアドレスがわからないはずであり、したがって通信が成立するはずがないのですが、しかし実際にはうまくいきます。 例えばローカルネットワーク内でWebサーバーを運用した場合、ルータにてルータの80番ポートへのアクセスをWebサーバー機に転送するポートフォワーディングを設定しなければ通信がうまくいきません。しかしftpに関してそのような設定は一切行っておりません。にもかかわらず通信がうまくいくのはどうしてなのでしょうか? 説明が下手でわかりにくいでしょうが、よろしくお願いします。 長々と失礼しました。
- ベストアンサー
- ネットワーク
- 外部からのSSH接続
今稼働中のネットワークに新しくマシンAを追加しました。IPアドレスを割り当てました。 SSHデーモンも動かし、FirewallサーバーのIPFilterを使って、外部からのマシンAへのSSH接続を許可しました(マシンAのポート22番を開放)。 そこで、外部からSSHでマシンAに接続しようとしても、タイムアウトとなりつながりません。 他の既存のマシンBは、ポート22番の開放/閉鎖によって、うまくSSH接続が成立/失敗となってくれます。 単純にポート22番の開放指示だけではSSH接続が成り立たない原因が分かりません。みなさまはどのようにお考えでしょうか?
- ベストアンサー
- Linux系OS
- FTPの為のルーター設定について
FTPサーバーを構築したのですが、 LANないからだとアクセスはできるのですが、 インターネット上からアクセスができません。 これはNATテーブルの設定を変えるのですが、 FTPに使うポートを開くと同じ意味なのですか? グローバルIPアドレスとプライベートIPアドレスのポートの 設定するということだと思うのですが。 ルーターのNAPT設定項目にWAN側の割り当て WAN側 受信ポート範囲 とあるのですが、これはLAN側のポート番号とは 違う物なのですか? 複数のマシンでFTPサーバーを開くとだぶってしまいますが。 NTTBフレッツマンションタイプ、プロバイダーはぷららですが、ルーターの設定方法はどこに問い合わせたらいいのでしょうか? ルーターはWeb Caster V110です。
- 締切済み
- ハードウェア・サーバー
- www,ftpは接続できるが sshのみ接続できない。
余ったPCにdebianをインストールし、サーバを運用しようと考えています。 ルータのポートマッピングはwww,ftpdata,ftp,sshのみ設定し、外部からサービスを使いたいと考えています。 しかし、不思議なことにwww,ftpは接続できるのですが、 sshのみconnection time out で接続できません。 またダイアルアップ接続でsshログインを試したところ、こちらからは正常に接続できました。 問題切り分けのため、ポートフィルタリングはルータではデフォルト、サーバではiptablesなしにしてあります。 タイムアウトになったsshのログはサーバにはありませんでした。 またnmapのデフォルトスキャンではfilteredになっていました。 環境によって接続できるできない場合があるのでしょうか? もしご存知の方回答をよろしくお願いします。 回線はUSENのマンションVDSLタイプです。 接続環境は以下のようになっています。 リモートPC[ダイヤルアップorLAN] ↓(インターネット) FTTHモデム(標準的なATERMです) ↓(LAN) スイッチングハブ(100M) ↓(LAN) Debianサーバ
- ベストアンサー
- ネットワーク
- ルーター設定:FTPサーバーへ静的マスカレード
IODATAのLANDISK「HDL-GZ1.0TU」にFTPサーバ機能があると知り、設定してみたのですが… LAN内であれば接続できました。 ftp://192.168.1.xxx グローバルアドレスを指定すると接続ができません。 ftp://xxx.xxx.xxx.xxx ----- FTPフォルダエラー このフォルダにアクセスできません。ファイル名を正しく入力したことと、フォルダにアクセスするためのアクセス許可があることを確認してください。詳細:サーバーとの接続がリセットされました。 %>ftp ***.***.***.*** Connected to ***.***.***.***. Connection closed by remote host. ----- ルーターはPlanex製BLW-04FMGを使っています。グローバルIPアドレスはプロバイダからDHCPで割り当てられています。 LAN内の機器にはローカルIPアドレスを固定で割り当ててあり、tcp21番が指定された場合はLANDISKへ渡すように設定したつもりでなんですが、この辺が怪しそうな気配です…。 ルーターのNAPT設定は NAPT 有効 FTP制御ポート 21 PPTPパススルー機能 無効 L2TPパススルー機能 無効 IPsecパススルー機能 無効 静的マスカレードは ID 64 プロトコル tcp リモートIPアドレス * リモートポート * 外部IPアドレス xxx.xxx.xxx.xxx(DHCPで割り当てられたモノ) 外部ポート 21 内部IPアドレス 192.168.1.xxx 内部ポート 21 何か思い当たる原因がありましたらアドバイスください。よろしくお願いします。
- 締切済み
- その他(インターネット接続・通信)
- SSH接続ができません
はじめましてよろしくおねがいします。 [仕様] ブロードバンド --- サーバーFedora Core5 ルータ | (サービス httpd | sshd | telnet | ftp ) | |-クライアント1(win) |- (略) -クライアント5(win) ルータ設定で、サーバーIPに対して 80.20.21.22.23.443ポートを開放 LAN内は固定プライベートIP グローバルIPに対して、ドメイン取得済み sshd_confはrootログイン禁止以外デフォルト SELinuxにて上記サービスについて許可 [症状] 上記仕様にて、外部よりSSH、及びTelnet接続できません。 LAN内クライアントからプライベートIPでは接続できます。(SSH,Telnet) 同クライアントからグローバルIP、及びドメインでは接続できません。(SSH,Telnet) 外部からWeb、FTP接続は、グローバルIP、ドメイン共に問題ありません。 ポートについてはhttp://www.cman.jp/network/support/port.html にて外部より開放されていることの確認はしています。 わかり辛い表現あるかと思いますが、上記の症状について、なにか問題点等わかる方いらっしゃいませんでしょうか? 些細なことでけっこうですのでチェックすべきところ等ご教示いただければ幸いです。 どうぞ よろしくおねがいします。
- 締切済み
- Linux系OS
- mac osでインターネット越しのSSH接続
環境は以下になります。 [Server] :MAC OS 10.5 [Client] :windowsXP :putty(ターミナルソフト) 内部LANからSSH接続は成功したのですが、取得したドメイン名でSSH接続を試みると、「ネットワーク接続が拒否されました」と表示されます。 以下のwebサイト(ポート解放確認http://www.cman.jp/network/support/port.html)でhost名を取得したドメイン名にして、ポート22を指定して、ポートチェックをクリックすると、「ホスト=****.com ポート=22 にアクセスできました」と成功します。 FirewallもDefault設定で全て許可しています。 また、ルータでPortForwardingも設定しております。 私はMAC OSは初心者でして、この先、いくら調べても接続されず困っております。解る方がいましたらアドバイスを下さい。 宜しくお願い致します。
- 締切済み
- ハードウェア・サーバー
- ルータ設定について
ルータのポート番号設定で、許可する内部ポート番号を記入する欄があったのですが、内部ポート番号の設定は、LAN内部から外部へのアクセスを許可をするのに記入するポート番号なのか、それとも外部からLAN内部へのアクセスを許可するために記入するポート番号なのか教えてください。
- ベストアンサー
- その他([技術者向] コンピューター)
- サーバーへの外部接続
自宅サーバーの構築をしていますがsshに外部から接続できません。 OSはCentOS5.xです 症状としては 1.ローカルの別PCからは接続できています 2.ルーターの22番ポートは開けており、サイトでポートチェックをしたところちゃんと開いています。 3.ルーターのルーティング設定で22番はサーバーマシンに送るように設定しています。 4./var/log/secureに接続拒否のログ自体が残っていません。 この状態の場合、疑うべきは3番のルーティング設定ができていないと考えてよいのでしょうか。 また、iptablesやhosts.xxx、ssh事態の設定はインストール後一切変更しておりません。 皆さまのお知恵をお貸しください。
- ベストアンサー
- ハードウェア・サーバー
お礼
お礼が遅くなってすいませんでした。 改めて回答ありがとうございました。 一通りの授業は終えたので、基本的なTCP/IPの知識はあるつもりですが、まだまだ不十分です。(^_^;) 現在もまだIPFWの設定がうまくいっておらず、ネットワークが不通の状態です。 Etherealでパケットをキャプチャして解析していますが、そこで使用しているポートを開けていてもダメですね。 行きと帰りでどっちで開けるかということは盲点でした。 あけたら両方あくのかと思ってました。 この辺のことを調べてみようと思います。 ありがとうございました。