このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

MN128-SOHOのIPフィルタ設定について

発言者:ぱっちん
( Date Sunday, September 09, 2001 16:28:37 )


MN128-SOHOの余計なポートを塞ごうと思ってます。
以下のように全部塞いでしまうと、LAN内のパソコンからホームページ等が
見られなくなってしまいますよね。

ip filter 32 reject in * * * * * remote 0

設定例を見ると、以下のポートを通すように書いてありました。

ip filter 4 pass in * * tcp * 1024-65535 remote 0
ip filter 5 pass in * * udp * 1024-65535 remote 0

確かにこのフィルタを加えるとホームページを見ることが出来るのですが、
はたして、こんなにポートを使っているのでしょうか?

田中求之 さんからのコメント
( Sunday, September 09, 2001 16:47:50 )

>はたして、こんなにポートを使っているのでしょうか?

使っている場合もありますよ。たとえば、このサイトのページの画像データ
は、別のサーバ(mtsub.ecn.fpu.ac.jp)のポート8080を使って送りだすように
なっています(ポート80 は検索エンジンに使用しているため)。

このように、1024 以上のポートであっても、サイトの都合や、サービスの
内容によって使用している場合もあります。ですから、1024 以上をすべて
ふさいでしまうと、外部のサイトを利用する際に支障が生じることがあり
ます。

ぱっちん さんからのコメント
( Sunday, September 09, 2001 16:59:08 )

早速の解答ありがとうございます。

>>1024 以上をすべてふさいでしまうと、
>>外部のサイトを利用する際に支障が生じることがあります。

設定例通り開けてしまって、セキュリティ上問題はないのでしょうか?

田中求之 さんからのコメント
( Sunday, September 09, 2001 17:56:59 )

>設定例通り開けてしまって、セキュリティ上問題はないのでしょうか?

余分なポートを開けておくということは、それだけ問題が起きる可能性を
高めるのは事実です。もちろん、ポートさえふさげば安全というわけでも
ないわけですが。

最終的にはご自分で危険性を判断されるしかないのですが、一般的な答えとしては、
使わないポートはふさいでおき、必要になったときに開けるようにするということ
になりますね。

ぱっちん さんからのコメント
( Sunday, September 09, 2001 21:19:46 )

例えば、ホームページ閲覧に限って言えば、
どのポートを使っているのでしょうか?
(8080を開けただけではダメでした。)

また、それを調べる手段はあるのでしょうか?

田中求之 さんからのコメント
( Sunday, September 09, 2001 22:10:19 )

HTTP はポート 80 がデフォルトです。


>また、それを調べる手段はあるのでしょうか?

ネットを検索してもらえば、山のように資料が見つかるとは思いますが…

たとえば、以下のページなど。

→  TCP/IPポート番号一覧

あまの さんからのコメント
( Sunday, September 09, 2001 22:54:05 )

こんにちは。

サーバ ------ クライアント という二つの端点のうち、
HTTP サーバ側のよく使われるポート番号は 80 です。
が、もちろんもう一方の端点であるクライアント側にもポート番号が
必要になります。
(そうしないと、同時にいくつもコネクションをはれませんよね)

(通常)クライアント側は、コネクションをはる際に、
その時に空いているポートを OS が動的に割り振って行われます。

したがって、1024-65535 のような well known port でない範囲の
ものは、通すようにしておかないと、http だけでなく、いろいろな
通信ができなくなるものと思われます。


、、、、というのが私の認識なのですが、もし「それは違う」という
ことでしたら、適切に訂正お願いいたします。>皆様


田中求之 さんからのコメント
( Monday, September 10, 2001 00:59:00 )

>(通常)クライアント側は、コネクションをはる際に、
>その時に空いているポートを OS が動的に割り振って行われます。

これは違いますよ。

FTP の Passive mode での通信の場合には動的にポートが割り振られることが
ありますが、このようなものを除いては、クライアントは決められた(指示された)
ポートにコネクションを張るだけですよ。HTTP でもクライアントはポート80
でアクセスします(通常は)。

Interarchy などを使って、どのポートが開いているか(使われているか)、確認
んさるとわかると思います。

しあわせのツボ さんからのコメント
( Monday, September 10, 2001 01:46:46 )

?
クライアントの空きポート「から」
サーバのwell knownポート「に」
コネクションを張る、と理解していましたが。
# でないとHTTPサーバのマシンではwebブラウズができないし
# 原理的にNAPTもできない。
なので、あまのさんの説明で正しいと思います。
実際、ログを見てもそうなってますし。

ところで、MN128-SOHOには、establishedパケットのみを
通す設定というのはないのですか?
無印SOHOだと、本当になさそうな気がして嫌ですけど。

田中求之 さんからのコメント
( Monday, September 10, 2001 02:20:23 )

う、UDP と TCP をごっちゃにしてたかもしれません。

ところで、クライアントのエンドポイントが、たとえば 1069 というポート
を指定したものになっていたとき、つまり、

(192.168.0.1,80) というサーバと (192.168.0.2,1069) というクライアントの
エンドポイントでコネクションを張るというとき、ルータは 80 と 1069 の
両方のポートをあける必要がありますか? ポート80 だけでいけるんじゃ
なかったですか? 違ったっけ?

寺山 さんからのコメント
( Monday, September 10, 2001 21:54:04 )

WEBブラウザが何番のポートを使うかは不定であったと思います.
ポート番号でしかフィルタできないとしたらin側は開けるしかないと思います.

ぱっちん さんからのコメント
( Tuesday, September 11, 2001 00:51:47 )

皆様、発言有り難うございます。

Webコネクション時には

>>空いているポートを OS が動的に割り振って行われます。

ということで、私の機種は

>>無印SOHO

なので、

>>ポート番号でしかフィルタできないとしたらin側は開けるしかない

と理解しました。

取りあえず1024-65535番は開けて慎重に実験してみます。
まずは取急ぎ御礼迄。

あまの さんからのコメント
( Tuesday, September 11, 2001 03:16:18 )

こんにちは。

MN128-SOHO シリーズならば、LAN 側と WAN側でポート番号を指定して
明示的に NAT 変換の設定をしていないかぎり、

ip filter 4 pass in * * tcp * 1024-65535 remote 0

のような設定を行っていたとしても、通常はパケットを通さない(どの
マシンにフォワードしていいかわからないですよね)はずです。


つまり、NAT の設定がない限りは、しあわせのツボさんが仰っている
ように「establishedパケットのみを通す」動作になるかと思います。


寺港みやび さんからのコメント
( Saturday, October 20, 2001 21:05:37 )

最近WebStarへのAdminアタック(パスワードを何度もトライする)が
目立つので塞いでしまおうと思うのですが
ip filter 4 reject in * * tcp * 1080 remote 0
ip filter 5 reject in * * udp * 1080 remote 0
こんな感じでよろしいのでしょうか。
ちなみにプロクシは立ち上げていません。

寺港みやび さんからのコメント
( Monday, October 22, 2001 12:43:55 )

とりあえず1080の遮断でログには痕跡が残らなくなりました。
ただしただ来なくなっただけなのか、1080でadminがガードされたのか
実は他にも関連ポートがあるのかいまいち確信はもててないのです。

kazu さんからのコメント
( Friday, November 09, 2001 01:35:39 )

MN128SOHOSL11 を使っています。かずといいます。
質問なのですが、LINUXでサーバを構築しています。
NMAPでルータの内側をチェックするとSMTPサーバやSSHなどのポートが空いていません。
外(グローバルIPでポートスキャン)は、必要なポートが空いています。
内側(192。168。0。1)のフィルターの設定とかどのようにすればいいのでしょうか?
例えばSMTPとかで説明していただけるとうれしいです。
よろしくおねがいします