WEBアクセス時のポートについて
- インターネットに接続する際のポート番号について説明します。
- ルーターのポートフィルタリングについて考えていますが、適切な設定についてお教えください。
- LANのPC端末と外部のDNSサーバー・WEBサーバーとのエクスチェンジについても認識しております。
- ベストアンサー
WEBアクセスする際の53、80、443ポート。
お世話になります。 LANのPC端末から、ルーターを通して、インターネットに接続します。 ルーターにおけるポートフィルタリングを考えております。 通常、インターネットに接続する際のポート番号は、80、443と言われ、 そのために必要なDNSサーバーのポート番号は、53と言われます。 これらのポート番号は、サーバー側のポート番号だと認識しております。 LANのPC端末側においては、1024~65535番のポートが割り当てられると認識しております(OSによりその中の範囲が異なる)。 つまり、LANのPC端末の1024~65535と、外部のDNSサーバー53、WEBサーバー80、443とのやりとりになると、認識しております。 また、LAN側には、公開している自社DNSサーバー、WEBサーバーはないとします。 この場合、ルーターにおけるポートフィルタリングで、 53、80、443への送信、53、80、443からの受信は通し、 53、80、443からの送信、53、80、443への受信は拒絶しても、よいように思うのですが、 いかがでしょうか。 あるいは、LANのPC端末で、インターネットを使用するということにより、 53、80、443からの送信、53、80、443への受信も、 許可しておいた方がよろしいでしょうか。 どうぞよろしくお願いします。
- ERUERI
- お礼率100% (4/4)
- ネットワーク
- 回答数1
- ありがとう数2
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
お尋ねの件ですが他社ルーターは解りませんが、YamahaやNEC等SOH向けルーターですと、静的・動的フィルター設定時に柔軟な設定が可能です。 動的フィルタ‐ですと、通信検知時にのみ利用ポートを開閉する仕組みになっており、LAN内からの出力時にポートオープン、外部からの入りに対しクローズする設定も可能です。それに対し、静的フィルタ設定ですと、IPフィルタ記述により一定のルールでのオープン・クローズの設定となります。動的フィルタが設定されていれば、優先順位として、動的フィルタが優先されます。 上記ルーターの場合、LANインターフェイス毎に出力・入力時のオープン・クローズ、PPダイヤル・インターフェイス毎にも可能です。
関連するQ&A
- IPSecのVPNにおけるポートフィルタリング
お世話になります。 以下、質問させてください。 現在、2拠点間で、ヤマハルーター、RTX1100により、IPSecのVPN接続を行っております。 回線はBフレッツ、プロバイダはOCNです。 固定IPアドレスを取得して、インターネット接続では、IPマスカレードを使用しております。 セキュリティを強化するために、不要なポートを可能な限り、さらに閉じたいと思っておりますが、 閉じすぎてしまいますと、正常な通信が、出来なくなってしまいますので、 どのポートを閉じることが出来るかを、検討しております。 WELLKNOWNポート(0~1023)については、使用するポート(DNSサーバーの53、WEBの80、443、IPSecの500、等)以外のポートは、すべて閉じます。また、使用するポートも、IPアドレスによる制御をかけます。 登録済ポート(1024~49151)、自由使用ポート(49152~65535)については、特に狙われやすいポートを閉じ、他は、開けてあります。ただし、外部からのアクセスはIPアドレスにより拒否、内部から外部のDNSサーバー、WEBサイトへのアクセスの返答は、通過させるようにしております。 ここで、ご質問させてください。 まず、内部LANから、外部インターネットに接続する場合についてです。 内部LANの端末から、DNSサーバーの53番ポートへの送信、 DNSサーバーの53番ポートから、内部LANの端末への受信、を許可していますが、 その際に、こちら側のポートは、1024番以降のポート番号が、「任意」に割り当てられる、と、文書で読みました。 このため、1024番以降で、閉じているポートが、たまたま割り当てられてしまった場合は、正常な通信が出来なくなってしまいます。 この「任意」には、何らかのルールがありますでしょうか。 例えば、1024番から順番に割り当てられるのだとしたら、内部LANの端末数が100くらいで、また、すべての端末が同時にインターネットを使用する可能性は低いので、1024~1124ぐらいまでは、開けておき、1125~65535は、閉じておきたい、と思います。 外部WEBサイトに接続する場合、やはり、送信側の「任意の」ポートから、外部WEBサイトの80、443ポートに、パケットが送られ、そこから、ESTABLISHEDパケットが、送信側の80、443ポートを通じて(この認識も正しいかどうか、確証がありません)戻ってきて、3WAYハンドシェイクにより、接続が成立する、と理解しております。 この際の「任意」にも、何らかのルールがありますでしょうか。 ルーターRTX1100のマニュアルを観ますと、IPマスカレードを使っている場合、デフォルトでは、60000~64095が割り当てられる、と書いてあるのですが、通信ログを観ますと、1024番以降の比較的若い番号も、使われているようでして。 もし、このマニュアルの記述が正しいならば、1024~59999、64096~65535は、閉じてしまいたいとも、思うのですが。 次に、IPSecについてです。 調べますと、IPSecの共通鍵(IKE)交換は、両拠点の500番ポート同士で行われる、ということなのですが、それでは、両拠点間の通信は、すべて、この500番ポート同士のみで、行われるということになりますでしょうか。それとも、1024番以降のポートも、やはり、使われる可能性がありますでしょうか。 例えば、片方の拠点のLANにある、データベースサーバー(プライベートIPアドレス、MicrosoftSQLサーバー)を、もう片方の拠点のLANでも、参照、使用しております。 ポートフィルタリングで、SQLServerが使用する、1433、1434番ポートも、閉じているのですが、2拠点間の通信は、正常に行うことが出来ております。 以上、2つ、お伺いさせて頂きます。 どうぞよろしくお願い致します。
- 締切済み
- ネットワーク
- 外部からポート110、143にアクセスできない
表題の通りなのですが、ポート疎通テストでアクセスできません。 ---環境 OS:Fedora8 受信メールサーバ:dovecot 固定IP(複数固定IPサービス利用) DNSとメールサーバのマシンは別 ルーター Web Caster 6400m 独自ドメイン ------- マシンのファイアウォールは110、143共に許可をしてあります。 (ファイアウォールの設定の「その他ポート」に登録してあります) ルーターのポート開放に関して、一応メーカーに問い合わせたところ、パケットフィルタリングで拒否していなければ通るはず、との回答を貰いましたので、静的IPマスカレードのNATエントリはDNSの設定しかしてありません。 dovecotの設定もして、一応エラーがないか確認しましたが、特にエラーは出ていないようです。 この状態でポート疎通テストを行なったのですが、アクセス出来ませんという結果になってしまっています。 一体何処で遮断されているのか分からないのですが、まだチェックが足りないところがあるのでしょうか? 仮にルーターでポートを開ける設定が必要な場合、IPはDNSのものを割り当てるのか、メールサーバのものを割り当てるのか、両方割り当てが必要なのか、など、ご教授いただければ幸いです。 ちなみにDNSのゾーンではMXレコードとAレコードでの設定はしているつもり・・・です。
- ベストアンサー
- その他([技術者向] コンピューター)
- DNSサーバーにアクセスする際のエフェメラルポート
お世話になります。 YAMAHAのVPNルーターRTX1100で、不要なポートのフィルタリング設定を行っております。 WindowsXPを1台で、接続テストを行い、ログを取りました。 WindowsXPが使用するエフェメラルポートは、1025~5000、WindowsVista以降のOSが使用するエフェメラルポートエフェメラルポートは、49152~65535、とのこと。 エフェメラルポート http://ja.wikipedia.org/wiki/%E3%82%A8%E3%83%95%E3%82%A7%E3%83%A1%E3%83%A9%E3%83%AB%E3%83%9D%E3%83%BC%E3%83%88 ここから、5001~65535のポートを、TCP、UDP、IN、OUT、すべてにおいて閉鎖しましたところ、インターネットに接続できませんでした。 ログを調べましたところ、WindowsXPのプライベートアドレス、5万番台ポート→DNSサーバー53番ポートへのパケットが、破棄されていました。 外部WEBサーバー80番ポートへのパケットは、すべて、1025~5000番の範囲に収まっていました。 閉鎖するポート番号を、5001~49151に変更することで、インターネットにも接続出来るようになりました。 WindowsXPの場合でも、OSのエフェメラルポートは、1025~5000ですが、それは、TCPパケットに関するお話で、DNSサーバーにアクセスするUDPパケットに関しては、49152~65535である、ということは、ありますでしょうか。 どうぞよろしくお願い致します。
- ベストアンサー
- ネットワーク
- ポート5432がオープンの市販ルータ?
とあるメーカの市販ルータ単体を、lan側からポートスキャンした所、 53ポート BIND 80ポート 5432ポート POSTGRESQL がオープンになっていました。OSはLINUXのようです。 よく分からないのですが、53はDNSサーバ、80はWEBサーバで、なんとなく必要なものではないかと思うのですが、5432ポートはなぜ開いているのでしょうか。よろしくお願いいたします。
- 締切済み
- ネットワーク
- NTTモデム SV3だけでアクセス制限は可能?
タイトルのような事はできますでしょうか? ルーター付ADSLモデムのSV3にハブをつけて 複数の端末でLANとインターネットを組む事を想定しているのですが、 特定の端末だけインターネット側に一切接続させたくないのです。 (LANには参加させたい) 仕様を見る限りではパケットフィルタリングにおいて フィルタ種別、送信/宛先IPアドレス別 プロトコル種別、送信元/宛先ポート別 方向指定 (WAN→LAN、LAN→WAN)可能 となっているのでこれで制限させたい端末のIPだけ全てのポートで LAN→WANを不可能にすればいいのかな?と素人判断で 思っているのですがいかがでしょうか? あまりパケットフィルタリングで探しても この機種にこういう事が出来るのか、という具体的な方法が 見つかりませんでした。 もし不可能なら確実にそのような機能を謳っている 別のルーターの購入を急ぎたいと思っています。
- ベストアンサー
- ADSL
- 80番ポートの開放が出来ない
検証用Webサーバを構築しようとしています。 外部からサーバにアクセスできるようポートを開放したいのですが、今一よくわかりません。 やりたいこと Webサーバ(SV1)に外部からアクセスできるようにしたい 使用しているルータ Aterm BL170HV 設定したこと ルータにポートマッピング設定をした →LAN側ホスト:192.168.0.3 プロトコル:TCP ポート番号:any LAN側ホスト:192.168.0.3 プロトコル:UDP ポート番号:any (最終的には必要ポートのみに絞る予定) DHCPはオフにし、各々のPC・SVで固定プライベートIPアドレスを設定した LAN環境 PC1(192.168.0.2) onu-ルータ(192.168.0.1)∠SV1(192.168.0.3) 現在、PC1でhttp://192.168.0.3 と入力すると、SV1内にあるホームページのindex.htmが見られます。 一方、PC1でhttp://(プロバイダから割り当てられてるグローバルIPアドレス)と入力すると、ルータの設定画面に入ってします。 これを、ルータの設定画面ではなく、SV1のindex.htmが開くようにしたいです。 どうしたらいいのか、ご教授ください。
- ベストアンサー
- ネットワーク
- ポートについて教えてください。
ポートについて教えてください。 「ポート」について本で読んだり、ネットで調べても よく分かりませんでした…。 パソコンが外部と通信するときに使用する出入り口だということは 分かりましたが、「ポートフィルタリング」や「ローカルポート」、 「外部ポート」という言葉が出てくると意味が分かりません。 私は無線LANでインターネットをしていますが、ポートはどのように なっているのでしょうか? 下のようなイメージなんですが…( ^ はポートの位置です)。 ______________________ PC ←→ 無線LANルータ ←→ インターネット _^__^______^___________ ポートが開いていると危険みたいなので怖いです。 どなたかご教授ください。
- ベストアンサー
- Wi-Fi・無線LAN
- Portの解放について
現在試験中のネットワークは 212.23.222.xxx (パブリックアドレス) NTTルータ → 市販ルータ192.168.0.0/24 → (質問いているPC) 192.168.2.0/24 ↓ 192.168.2.2 ファイアウォール → 172.168.0.1 (LAN) → PC 192.168.10.1 (DMZ) ↓ 192.168.10.105 WEBサーバ で、WEBサーバにAPACHE2を入れてあります。 80番ポートの解放はどのインターフェースもしくはPCのアドレスを解放すればよいのかわからなくななりした。 LANからのPCでは「It works」の表示がでます。 質問をしているPCにドメイン名を入れると192.168.2.1のルータの設定に繋がります。 NTTのルータの設定は: WAN側ポート 開始 - 終了 / プロトコル -> LAN側転送IPアドレス : ポート http(80) / TCP -> 192.168.10.105 http(80) としましたが、外部からの検索ではタイムアウト(504と記憶していますが403かも・・)表示で繋がりません。 ご教示頂ければ幸いです。
- ベストアンサー
- その他(ITシステム運用・管理)
- NAT変換してWebサーバーへのアクセスについて
【実現したいこと】 RTX1000のLAN2に設置したPCからTZ100(X0)にあるWebサーバーにNAT変換してアクセスしたい。 【状況】 1.Webサーバーからインターネットには接続できる。 2.RTX1000のLAN2側に設置したPCからWebサーバーにアクセス不可(WebサーバーへのアクセスはTZ100でNAT変換を行う 192.169.169.100 -> 192.168.168.100)) 3.RTX1000のLAN2側にPCを設置。LAN1側にWebサーバー設置してアクセスしようとしたがアクセスできず。そのため、 以下のルールを設定したが改善なし。このため、原因はRTX1000にあると考えているが原因がわからない状況です。 ----------------------------------- ip lan2 secure filter in 1 2 ip filter 1 pass * * * * icmp ip filter 2 pass * * * * www ----------------------------------- 【構成】 The Internet -- PR-200NE -- (LAN2)RTX1000(LAN1) --- (X1) TZ100 (X0) --- Webサーバー(192.168.168.100) 【PR-200NE 18.34】 送信先:192.169.169.0/24 ゲートウェイ:192.168.1.50 【RTX1000 Rev.8.01.29】 ip route default gateway 192.168.1.1 ip lan1 address 192.169.169.170/24 ip lan2 address 192.168.1.50/24 【TZ100 SonicOS Enhanced 5.9.0.2-107o.03.jpn】 1.インターフェイスの設定 X0:192.168.168.168/24 X1:192.169.169.169/24 G/W:192.169.169.170 DNS1:4.2.2.2 DNS2:8.8.8.8 2.NATポリシー 変換前の送信元:すべて 変換後の送信元:オリジナル 変換前の送信先:192.169.169.100 変換後の送信先:192.168.168.100 変換前のサービス:HTTP 変換後のサービス:オリジナル 3.アドレスオブジェクト 名前:192.169.169.100 ゾーン:WAN タイプ:ホスト 名前:192.168.168.100 ゾーン:LAN タイプ:ホスト 4.アクセスルール(WAN > LAN) 送信元:すべて 送信先:192.169.169.100 サービス:HTTP 動作:許可
- ベストアンサー
- その他([技術者向] コンピューター)
お礼
ありがとうございます。 よく調べてみます。