このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

固定IP1個だけでのサーバ公開

発言者:Rits
( Date Friday, October 22, 2004 10:23:32 )


サーバ機:G4QS2001、OSX Server10.3.5にてWeb(CGI,PHPも利用)とFTPだけを外部に公開したいと考えております。ADSL環境(現在ベンダーにてホスティングサービス(xxxx.org)を受けておりそこのDNSにサブドメイン(sub.xxxx.org)として自宅サーバを登録し公開予定)

本来であれば複数の固定IPをルータ、サーバ、少なくとも2つは必要になりますが、これを一つで運用する方法がわかりません。

自宅にはサーバPCと作業用PCがあるので内部にはプライベートアドレス?(ローカルTCP/IP)が必要です。

できるかわからないですが、浮かぶ構想は。
(知識貧弱なのでタブーをいうかもしれません・・悪しからず)

1)
サーバ機にEtherカードを増設して2つに。ADSLブリッジから直接サーバ機につなぎ、2つめのEtherに作業PCをつなぎDHCPで提供。サーバ機をルータ兼サーバという扱いでしょうか・・・。(考えるだけで怖いですが)

2)
ルータに固定IPをふり、プライベートアドレスでサーバ機(192.168.1.2)、作業PC(192.168.1.3)とふり、ルータの設定などでサーバ機を外部公開できるのであればその方法。

今使っているルータはプラネックスの[BRL-04AX]、これでは頼りないので新しく購入することが前提になると思いますが、上記のケース含め、皆様から助言いただけるケースを含めてのルータ選びもできたらなと思っております。

また、この場合のセキュリティ対策の助言もいただければ幸いです。
基本、使わないサービスはOFF、各モジュールのアップデートなど以外に
ソフトウエア(Norton??)についてもお願いします。

ろばたろう さんからのコメント
( Friday, October 22, 2004 13:19:36 )

私なら2)で構築します。

sub.xxxx.orgのグローバルIPアドレスがプロバイダーから
常に固定で1つ提供されていることが前提です。
ルーターは機種がたくさんあるので具体的な設定例は割愛しますが
DMZ機能や、バーチャルサーバー機能などを搭載したものが必要です。

セキュリティ対策そのものは非常に広義ですが、望まないサービスにアクセス
させない(例 外部からのSSHの接続は禁止したい)ことは重要です。
なので、ルーターの転送設定でどんなパケットもサーバーに転送し、サーバー
にファイアーウオール(FW)機能を追加しルールを構築する方法と、
ルーターで転送ルールを絞り込みサーバーはFWなし、そしてその両方や
その他の方法もあるでしょう。

どれを選択するかでルーターの機能がやや変わりますが、私の経験上
パケットフィルタリング型は設定が結構難しい(=高度な知識が必要な)ので
ステートフルインスペクション型が設定としてはわかりやすいです。
ただしどちらも精度は、設定のミスに加え、製品のバグや新手の攻撃手法、
ファームウエアの更新などの恒常的な対策が必要なことは言うまでもありません。





rodon さんからのコメント
( Saturday, October 23, 2004 02:07:54 )

> 本来であれば複数の固定IPをルータ、サーバ、少なくとも2つは必要になり

そんなことはないですよ。考え過ぎなのではないかと。

プラネックスのBRL-04AXであれば、外部からの接続を全てローカルのIPにつなげた
いのなら「バーチャルコンピュータ」、プロトコル、ポートごとに接続するマシン
を変えたいなら「ローカルサーバ」で設定できます。今回の場合は、httpとftpを
「ローカルサーバ」の設定で指定するだけです。

「バーチャルコンピュータ」はWAN側から丸見えになりますから、要注意なわけです
が、「ローカルサーバ」の場合は、指定されたポートしかつながりませんので比較
的安全です(もちろん、サーバー側の安全管理は必須ですが)。


Rits さんからのコメント
( Tuesday, October 26, 2004 15:40:10 )

ろばたろう さん
rodon さん

ご返答遅くなりまして申しわけありません。
ありがとうございます、現状の機器+手法2を利用します、公開に向けていきたいと思います。公開後、今後の対策を考えてルータ選出という流れでいかせていただきます、また何かありましたら宜しくお願い致します。