ドメインの取得
さて、ここまでくればインターネット用サーバの構築まで後一歩。次にインターネット用のサービスの設定に入ります。その前に必要になってくるのはドメインの取得です。
ドメインを取得してADSL回線でインターネット用サーバを運用するには次の2点が必要になってきます。
- 固定IPアドレスを取得
- セカンダリーDNSを用意
インターネットで検索するとADSLで接続した場合、固定IPアドレスを割り振ってくれるプロバイダは多数ありますが、全国展開(兵庫県でもサービスを受けられる)で、プロバイダ側でセカンダリーDNSを用意してくれるとなると限られてきます。私がチェックした限りでは低価格で上記条件を満たしているのはinterlinkのみだと思われます。(02/10/19現在)
今回、私が利用するのは次のサービスです。
|
|
|
|
|
|
|
試験公開スタート(02/10/25)
02/10/15に申し込んでおいたZOOT for フレッツ・ADSLの会員登録通知書が本日(10/24)届きました。割り当てられたIPアドレスは219.117.208.122になりました。
固定IPアドレスといっても、通常と同じ要領で指定されたアカウントとパスワードで接続するだけで、毎回同じアドレスが割り振られます。
Oct 25 23:07:51 web pppd[5076]: pppd 2.4.1
started by root,
uid 0
Oct 25 23:07:51 web
murasaki.net[5078]:
device
is registered
Oct 25 23:07:51 web
murasaki.net[5078]:
execute
ifup ppp0 (null)
Oct 25 23:07:51 web
pppd[5076]: Using
interface
ppp0
Oct 25 23:07:51 web
pppd[5076]: Connect:
ppp0 <--> /dev/pts/0
Oct 25 23:07:51 web
pppoe[5077]: PPP
session
is 358
Oct 25 23:07:51 web
pppd[5076]: local
IP
address 219.117.208.122
Oct 25 23:07:51 web
pppd[5076]: remote
IP
address 202.215.232.195
|
早速、Web Serverの試験公開をスタートさせました。ドメインは未設定ですからIPアドレスの直接入力でアクセス可能となっています。
http://219.117.208.122/
Fire Wallに試験公開に必要な穴を開けました。
- http tcp
- ftp tcp
- ftp-data udp
- domain tcp
- domain udp
- ローカル側のみicmp
- ローカル側のみssh tcp
以下が、現状のiptablesの起動スクリプトです。
#!/bin/sh
#firewall setup shell
script
#Ver.1.4 2002/10/29
# initialize
iptables -F
iptables -t nat -F
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
#IP Masquerade
iptables -t nat -A POSTROUTING -o ppp0 -j
MASQUERADE
# filter
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT
-m state --state ESTABLISHED,RELATED
-j ACCEPT
iptables -A INPUT -p icmp -i eth0 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport
domain -j ACCEPT
iptables -A INPUT -p udp -i eth0 --dport
domain -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport
http -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport
ftp -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport
ftp-data -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport
ssh -j ACCEPT
iptables -A INPUT -p tcp -i ppp0 --dport
domain -j ACCEPT
iptables -A INPUT -p udp -i ppp0 --dport
domain -j ACCEPT
iptables -A INPUT -p tcp -i ppp0 --dport
http -j ACCEPT
iptables -A INPUT -p tcp -i ppp0 --dport
ftp -j ACCEPT
iptables -A INPUT -p tcp -i ppp0 --dport
ftp-data -j ACCEPT
iptables -A INPUT -i ppp0 -j LOG
# established connection
iptables -A FORWARD -m state --state ESTABLISHED,RELATED
-j ACCEPT
# forward from local-network
iptables -A FORWARD -i eth0 -j LOG
iptables -A FORWARD -i eth0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
insmod ip_nat_ftp
insmod ip_conntrack_ftp
|
ローカルLAN内から外部に転送されるパケットのlogを取得しています。これにより塞ぐべきポートがあればフィルタを追加していきたいと考えています。 |
|
|
|
|
|
|
フィルタの追加(02/11/02)
10月末にinterlinkのMOOTサービス(2ed DNSサービス)が再開される予定でしたが未だに再開されません。サーバの設定は停止状態。
この2〜3日、当社のお客様でワーム(w32.opnserv)に侵入された方が何件かありました。このワームはnetbiosが使用するPort
137-139を使ってシステムに侵入するもので、Windowsのバグを利用して増殖します。念のためにローカル・ネットワーク内から出て行くMicrosoft
Network関係のパケットを破棄するフィルタを追加しました。
#!/bin/sh
#firewall setup shell
script
#Ver.1.5 2002/11/01
# initialize
iptables -F
iptables -t nat -F
iptables -P FORWARD
DROP
iptables -P INPUT
DROP
iptables -P OUTPUT
ACCEPT
# IP Masquerade
iptables -t nat -A
POSTROUTING -o ppp0 -j
MASQUERADE
# filter
iptables -A INPUT
-i lo -j ACCEPT
iptables -A INPUT
-m state --state ESTABLISHED,RELATED
-j ACCEPT
iptables -A INPUT -p icmp -i eth0 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport
domain -j ACCEPT
iptables -A INPUT
-p udp -i eth0 --dport
domain -j ACCEPT
iptables -A INPUT
-p tcp -i eth0 --dport
http -j ACCEPT
iptables -A INPUT
-p tcp -i eth0 --dport
ftp -j ACCEPT
iptables -A INPUT
-p tcp -i eth0 --dport
ftp-data -j ACCEPT
iptables -A INPUT
-p tcp -i eth0 --dport
ssh -j ACCEPT
iptables -A INPUT
-p tcp -i ppp0 --dport
domain -j ACCEPT
iptables -A INPUT
-p udp -i ppp0 --dport
domain -j ACCEPT
iptables -A INPUT
-p tcp -i ppp0 --dport
http -j ACCEPT
iptables -A INPUT
-p tcp -i ppp0 --dport
ftp -j ACCEPT
iptables -A INPUT
-p tcp -i ppp0 --dport
ftp-data -j ACCEPT
iptables -A INPUT
-i ppp0 -j LOG
# established connection
iptables -A FORWARD
-m state --state ESTABLISHED,RELATED
-j ACCEPT
# forward from local-network
iptables -A FORWARD
-o ppp0 -p tcp --dport
137:139 -j DROP
iptables -A FORWARD -o ppp0 -p udp --dport
137:139 -j DROP
iptables -A FORWARD -o ppp0 -p tcp --dport
445 -j DROP
iptables -A FORWARD
-o ppp0 -p udp --dport
445 -j DROP
iptables -A FORWARD
-i eth0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
insmod ip_nat_ftp
insmod ip_conntrack_ftp
|
それにしても頻繁にserverのlogに、Port 137/udpを突付いてくるパケットが記録されています。w32.opaservが活発に活動していると思われます。 |
|
|
|
|
|
|
システムの入れ替え(02/11/08)
待てど暮らせどMOOTサービス(2ed DNSサービス)の再開の気配がありません。問い合わせのMailを出しましたら、Mailでサービス受付をやって貰えるそうです。早速、申込みのMailを送りました。近日中にドメインでの運用が開始できそうです。
昨晩、思い立ったようにシステムの入れ替えを行ないました。と言うのが手元にあったCube
FV24は、あまりにも電源ファンの騒がしさに閉口して放置していたのですが、その有効利用を考えてlinux-box化することにしました。amanjako
serverを設置しているのは家の屋根裏部屋ですから、少々の騒音は問題になりません。
以下がそのスペックです。
スペック |
Shuttle FV24 |
|
メーカーURL |
http://www.spacewalker.com/english/ |
マザーボードタイプ |
FlexATX |
サイズ |
190×177mm |
チップセット |
VIA Apollo PL133T |
CPU |
Celeron 1GHz(100MHz×10倍) |
メモリ |
256MB |
HDD |
Maxtor 20GB/5400rpm |
O S |
Turbo Linux Server 7.0 |
「インテルの純正チップが好きだ」派の私に取って、互換チップのマシンにLinuxをインストールしてserverとして運用することには抵抗があったのですが、今回チャレンジしてみることにしました。
Linuxのインストールに若干手間取りましたが、入ってしまえばこちらのもの。設定ファイルは前サーバのものを流用できますので、思ったよりも短時間に移行を完了しました。
|
|
New Amanjako Server System |
まさにLinux-Box |
コンパクトなケースですから、連続運転時の温度上昇が気になりますが、CD-ROMやFDDを取っ払っていますので、ケース内にはかなりの余裕があります。はてさて、この互換チップのServerが安定して運用できるか興味を持って見守りたいと思っています。
|
|
|
|
|
|
|
|