snagplaces on @wiki
CTU(100M-S)のネットワーク設定
最終更新:
snagplaces
-
view
最終更新日時:2009年11月10日 (火) 12時17分49秒[編集]
NTTから配布されたCTU(100M-S)をそのままの状態でシマンテック・セキュリティチェックのセキュリティスキャンをかけると、ほぼStealth状態とでました。
通常利用でこの結果はなかなか優秀なのですが、このままだと自宅サーバの公開ができないのでいくつかの設定変更を行います。
通常利用でこの結果はなかなか優秀なのですが、このままだと自宅サーバの公開ができないのでいくつかの設定変更を行います。
参考サイト
- 自宅サーバーLAN内の構成とCTUの設定例-フレッツ光プレミアムファミリータイプ
- 光プレミアム CTUのポート開放
- フレッツ光プレミアム / ザ・ケイズページ / The Kei's Page
- M-yPersonalLinks+ 鯖を立てたい人も立てない人も~フレッツ光プレミアム~
こんな感じで「光プレミアム 自宅サーバ」で検索したらいっぱいでてきます。
ポート解放のルール付け
以前Atermで設定していた時と違い今回はDMZといったものがないので、どのアドレスに対してどのポートを空けるかを明確にしなければなりません。
そんなわけで、ルール付けを以下のようにしました。なるべくデフォルトの設定を継承しています(変える可能性あるかも)。
そんなわけで、ルール付けを以下のようにしました。なるべくデフォルトの設定を継承しています(変える可能性あるかも)。
IPアドレス割り当て範囲
IPアドレス | 説明 | 注釈 |
192.168.24.1 | 加入者網終端装置(CTU) | デフォルト |
192.168.24.2 | ひかり電話(VoIP) | デフォルト |
192.168.24.1 ~ 50 | 固定IP範囲 | |
192.168.24.51 ~100 | DHCP範囲 | |
192.168.24.101~254 | 固定IP範囲 | |
192.168.24.255 | ブロードキャスト | |
192.168.24.202 | サーバ用アドレス | 別に202である必要はありません |
192.168.24.51 ~100 | その他クライアント用DHCP |
サーバ機(192.168.24.202)に対して開放するポート
ポート番号 | 対応サービス |
21 | ftp |
22 | ssh |
25 | smtp |
80,8080 | www,proxy |
110 | pop |
123 | ntp |
443 | www(SSL) |
4000-4029 | ftp(PASV) |
フレッツ光CTU設定
ルールが決まったら、CTUにアクセスして設定を行います。以下のアドレスにアクセスしてお客様IDとアクセスパスワードを入力してください。
静的アドレス変換設定
ログインできたら、左メニューの「詳細設定」をクリックし、「接続先詳細設定」を表示します。
接続先詳細設定が表示されたら、左メニューの「静的アドレス変換設定(ポート指定)」をクリックします。
静的アドレス変換設定(ポート指定)は以下のとおりとなります。
接続先詳細設定が表示されたら、左メニューの「静的アドレス変換設定(ポート指定)」をクリックします。
静的アドレス変換設定(ポート指定)は以下のとおりとなります。
優先順位 | 適用する接続先 | LAN側端末IPアドレス | プロトコル | ポート番号 | ※ |
1 | 接続先1 | 192.168.24.202 | TCP | 21~22 | SSH |
2 | 接続先1 | 192.168.24.202 | TCP | 25~25 | SMTP |
3 | 接続先1 | 192.168.24.202 | TCP | 80~80 | WWW |
4 | 接続先1 | 192.168.24.202 | TCP | 110~110 | POP |
5 | 接続先1 | 192.168.24.202 | TCP | 123~123 | NTP |
6 | 接続先1 | 192.168.24.202 | TCP | 443~443 | WWW(SSL) |
7 | 接続先1 | 192.168.24.202 | TCP | 4000~4029 | FTP(PASV) |
8 | 接続先1 | 192.168.24.202 | TCP | 8080~8080 | WWW(PROXY) |
※優先順位は別に適当でいいです。
ファイアウォール設定
次に一度TOPに戻り、左メニューの「ファイアウォール設定」をクリックします。
ファイアウォール設定画面が表示されたら、ページ下部にある「詳細設定」にチェックしてOKをクリックします。
追加したファイアウォール設定は以下のとおりとなります(長い!見にくい!)。ICMPやメモは記入する必要がないので省いてます。
ファイアウォール設定画面が表示されたら、ページ下部にある「詳細設定」にチェックしてOKをクリックします。
追加したファイアウォール設定は以下のとおりとなります(長い!見にくい!)。ICMPやメモは記入する必要がないので省いてます。
番号 | 許可/拒否 | 適用する接続先 | IPバージョン | 通信方向 | プロトコル | TCPフラグ | 送信元アドレス | 送信元ポート | 送信先アドレス | 送信先ポート |
1 | 許可 | 接続先1 | IPv4 | WAN→LAN | TCP | 指定しない | すべてのアドレス | すべてのポート | 192.168.24.202~192.168.24.202 | 21~22 |
2 | 許可 | 接続先1 | IPv4 | WAN→LAN | TCP | 指定しない | すべてのアドレス | すべてのポート | 192.168.24.202~192.168.24.202 | 25~25 |
3 | 許可 | 接続先1 | IPv4 | WAN→LAN | TCP | 指定しない | すべてのアドレス | すべてのポート | 192.168.24.202~192.168.24.202 | 80~80 |
4 | 許可 | 接続先1 | IPv4 | WAN→LAN | TCP | 指定しない | すべてのアドレス | すべてのポート | 192.168.24.202~192.168.24.202 | 110~110 |
5 | 許可 | 接続先1 | IPv4 | WAN→LAN | TCP | 指定しない | すべてのアドレス | すべてのポート | 192.168.24.202~192.168.24.202 | 123~123 |
6 | 許可 | 接続先1 | IPv4 | WAN→LAN | TCP | 指定しない | すべてのアドレス | すべてのポート | 192.168.24.202~192.168.24.202 | 443~443 |
7 | 許可 | 接続先1 | IPv4 | WAN→LAN | TCP | 指定しない | すべてのアドレス | すべてのポート | 192.168.24.202~192.168.24.202 | 4000~4029 |
8 | 許可 | 接続先1 | IPv4 | WAN→LAN | TCP | 指定しない | すべてのアドレス | すべてのポート | 192.168.24.202~192.168.24.202 | 8080~8080 |
設定が完了したら、一度TOPに戻り、「設定反映」ボタンを押して反映します。
再起動する場合があるので、指示に従ってCTUの再起動を行ってください。
再起動する場合があるので、指示に従ってCTUの再起動を行ってください。
最後に、シマンテック・セキュリティチェックをしてください。必要なポート以外がcloseもしくはstealthになっていればOKです。
また、サーバが起動していない状態でもチェックを行い、無用のポートが空いていないか確認してください。
また、サーバが起動していない状態でもチェックを行い、無用のポートが空いていないか確認してください。
このファイアウォールの設定は結構細かく設定できるので、危険とされるポートの閉鎖やPeercastのポート解放の方法とかもありますが、それについては別項目にてまとめます。
[▲上へ]