『webサーバー』のクチコミ掲示板

先日MN８３００を購入しました。
それまで自宅サーバーをモデム直結で公開していたのですがセキュリティー上ルーターを購入しました。
説明書通りDMZポートでポート４で繋げてGapNATに変更しました。
GapNAT通過も外部からのホストを全て特定ホストにチェックを入れました。
DNSもグローバルIPを更新しましたがアクセスできません。
グローバルIPもパソコン自体は取得しています。
後、設定をいじって再表示すると何回しても再表示されません。
もう一度http://192.168.1.1にアクセスやり直しです。
サポに電話してもまったく繋がらなく、
言葉が足りないかも知れませんがアドバイスよろしくお願いします。

書込番号：2240983

[Jimo]

ミルミルキーさん，セキュリティは大丈夫？Windowsにはパッチとか
ポートフィルタとか，ちゃんと設定している？なんでこう書いている
かと言うと，すまないがミルミルキーさんのアドレスにアクセスさせ
てもらったから。ちゃんと（？）アクセスできた。

> セキュリティー上ルーターを購入しました。

勘違いしてはいけないのが，DMZにあるマシンに全ポートを転送する
設定では，ほとんどセキュリティ確保にはなっていないと言うこと。
HTTP(TCP Port80)とPOP/SMTP(TCP Port110/25)だけを開ければいいの
なら，NATルータモードにして「NATアドレス変換」でこれらのポート
を転送にする方が安全だと思う。もちろん，Server自体のハードニン
グに関して自信があるなら良いが，そうでないなら，やめた方が良い
と思う。多分他にクライアントPCがあるのだと思うが，そちらさえ
守られればいいと言うことであれば，DMZにServerを置いて，ハック
しまくられても良いのかもしれない。しかし，踏み台にされて他の
ユーザに迷惑をかけた場合には，ミルミルキーさんが損害賠償を求
められるかもしれないから，気を付けた方が良い。

ちなみに，Port 1,2,3につないでいるクライアントPCからPort 4に
あるServerを参照できないということを言っているなら，それは当
たり前。PPPoEブリッジを通してもう一つIPアドレスを取ったマシン
からならアクセスできるが・・・

書込番号：2241497

おじゃまします。
>NATルータモードにして「NATアドレス変換」でこれらのポート
>を転送にする方が安全だと思う。
「外部からのホストを全て特定ホストにチェック」は問題ありですが、GapNAT通過・NATアドレス変換設定で、特定のポートを開けてあげるのと
ではどちらが安全でしょうか。僕は、NATで穴をあけるより、DMZのマシン
を多少犠牲にしてでも他のクライアントに影響のないGapNATの方を選択し
ました。

>ちなみに，Port 1,2,3につないでいるクライアントPCからPort 4に
>あるServerを参照できないということ
動作モード設定で「LAN内のグローバル−プライベート間通信」を行うに
すれば可能ではないでしょうか。

何の解決にもならない横槍ですみませんでした。

書込番号：2242663

[Jimo]

> 僕は、NATで穴をあけるより、DMZのマシン
> を多少犠牲にしてでも他のクライアントに影響のないGapNATの方を
> 選択しました。

それは，あくまでもServerに大事な情報が入っていないことを前提に
していると思うんだけど，違うかな？俺が，

> 多分他にクライアントPCがあるのだと思うが，そちらさえ
> 守られればいいと言うことであれば，DMZにServerを置いて，ハック
> しまくられても良いのかもしれない。

と書いたのは，TM1710さん的発想を想定してのもの。なんのための
DMZかと言えば，他のクライアントを守るためだからね。

とはいえ，ミルミルキーさんのシステムはユーザを管理する機能が
あるよね。実は俺，登録してみた。このシステムを使うユーザがいる
と仮定すると，ミルミルキーさんにはその情報を守る責任が発生する。
そこをどう評価するかだと思うんだ。

> 動作モード設定で「LAN内のグローバル−プライベート間通信」を行うに
> すれば可能ではないでしょうか。

これやっちゃったら，セキュリティも減った暮れもなくなるんじゃな
い？どうなんだろう？

書込番号：2243047

早速のお返事ありがとうございます。
Jimoさんのこちらにアクセスできたってそんなことできてしまうんですね。
今の状態はケーブルと光を混合してましてケーブルをやめる為に光を導入しルーターを購入したのですが光の方のルーター設定で止まってまして・・・
これはケーブルからです。
以前はファイヤーウォールだけ入れていたのですがまずそうですね。
ポートフィルタ？そんなやつもあるんですね。知らなかったです。
DMZの使い方を熟知せずに使ってました。DMZに繋げてるパソコンにもデータ入れてますから覗かれ放題、ハッキングし放題ですね。
取りあえずサーバーを熟知するまでJimoさんの言うとおりNATルーターで立ててみようと思います。
すみません、後一つルーターの再起動後の再表示を押しても再表示されないのは私のせいですか？機器のせいですか？

書込番号：2243838

Jimoさんの言うとおりにNATルーターで設定した所お陰さまで
出来ました。本当にありがとうございました。
しかしFTPサーバーも設定をしたのにFTPサーバーにアクセスできないのはまた他に設定もありますか？
一応ｗｗｗ、FTPのチェックも入れましたが・・・
そうそうJimoさんの言うミルミルキーさんのシステムはユーザを管理する機能があるよね。実は俺，登録してみた。ってどのシステムの事ですか？
素人ではさっぱりです・・？？

書込番号：2244848

すみませんFTPの方はffftpのPASVモードのチェックをはずすとアクセスできました。意味も分からずですが(^_^;)

書込番号：2244858

ミルミルキーさん、こんばんは。
>HTTP(TCP Port80)とPOP/SMTP(TCP Port110/25)だけを開ければいい
Jimoさんの説明を拡大解釈されていませんか？
FTP(ポート20,21)を開けて内部に招き入れることは危険だと思います。
僕はクラッカーじゃないから興味無いんだけど、あなたのパソコンに被害
があるだけで無く、踏台にされたり外部のパソコンにアクセスする糸口に
ならないよう気をつけてください。
悪意あるクラッカーはあなたのパソコンを情報の受渡し場に利用すること
を考えるかもしれませんね。
Jimoさんが書いておられる範囲では、あなたのパソコンにデータを送りつ
けることは困難ですが、暴走気味に見えてちょっと心配です。

書込番号：2245936

[Jimo]

まず最初に。TM1710さんの

> 暴走気味に見えてちょっと心配です。

に１票。ミルミルキーさんはもう少し分かっている人なのかと期待し
たのだが，

> Jimoさんのこちらにアクセスできたってそんなことできてしまうんですね。

って，ちょっと他人事すぎないかなぁ。俺がアクセスしたのはどうやら
CATV側からのようだが，逆に言えば，CATV側は完全無防備になっていな
いか？せめてアクセスログを見て欲しい。FTPサービスが動いているの
も確認済み。ポートスキャンされても，ミルミルキーさんは気が付かな
いのだろう。やばすぎるよ。SMTP Serverなぞ，格好の隠れ蓑にされる
ぞ。誰かを中傷，誹謗するメールをばらまくのに使われたら，それを
助けたと言うことで損害賠償を請求されるかも。

ミルミルキーさんがなんのためにPOP/SMTP, FTPサービスを動かして
いるのかは分からないが，まず，ネットワークに関する知識をもう少
し身につけてからでも遅くないんじゃないか？とにかく，どうして
Routerを入れると安全になるのかとか，何が危険なのかとか，その程
度のことは分かってからの方が良いよ。

蛇足だが，通常，プロバイダの約款にはプロバイダ同士をネットワー
クで接続することを禁止している。これは，当然の事ながら，ユーザ
の機器を踏み台にして相手のプロバイダに属するユーザに攻撃を仕掛
けられたりする可能性があるから。今，ミルミルキーさんのシステム
は格好の踏み台になっている気がする。


ところで，ArGoSoftのMail ServerとかFTP Serverって，安全なのか？
誰か知ってる？

書込番号：2246526

ほんとに未知って怖いものですね。
TM1710さんJimoさんご指摘ありがとうございます。
もう少し勉強させて頂きます。
ほんとにやばいですよね！！
このケーブルはケーブルモデム直付けです。
なぜならば以前はケーブルからファイヤーウォールの親パソからネットワークで子機接続しネットワーク間のデータをやり取りできないように設定していた為、よく使う子機から親機のサーバーにHPを更新するときにFTPで転送しHPを更新していました。
今はケーブルを解約したい為この３，４日は直付け状態です。
ケーブルを解約するとメールアドレスがなくなるのでメールサーバーPOP/SMTPを立てざるを得ない状態なんです。
ようはドメインを取っているので＊＊＊＠ドメインでのメールアドレスを作るのに必要でして・・・
皆さんご迷惑をおかけしました親切なご指摘ありがとうございます。

書込番号：2247257