Flet's ADSL TOP Online申込み導入記BBルータ編|Server編Report掲示板アンケート集計結果

前回までの設定でLinux Boxをブロードバンドルータとして使うところまでこぎつけました。これからはインターネット用サーバに仕立てる作業が待っています。これからの作業は、過去にISDN回線を使ってサーバを構築した経験が生かせます。

ドメインの取得
さて、ここまでくればインターネット用サーバの構築まで後一歩。次にインターネット用のサービスの設定に入ります。その前に必要になってくるのはドメインの取得です。
ドメインを取得してADSL回線でインターネット用サーバを運用するには次の2点が必要になってきます。
  1. 固定IPアドレスを取得
  2. セカンダリーDNSを用意
インターネットで検索するとADSLで接続した場合、固定IPアドレスを割り振ってくれるプロバイダは多数ありますが、全国展開(兵庫県でもサービスを受けられる)で、プロバイダ側でセカンダリーDNSを用意してくれるとなると限られてきます。私がチェックした限りでは低価格で上記条件を満たしているのはinterlinkのみだと思われます。(02/10/19現在)

今回、私が利用するのは次のサービスです。

試験公開スタート(02/10/25)
02/10/15に申し込んでおいたZOOT for フレッツ・ADSLの会員登録通知書が本日(10/24)届きました。割り当てられたIPアドレスは219.117.208.122になりました。
固定IPアドレスといっても、通常と同じ要領で指定されたアカウントとパスワードで接続するだけで、毎回同じアドレスが割り振られます。
Oct 25 23:07:51 web pppd[5076]: pppd 2.4.1 started by root, uid 0
Oct 25 23:07:51 web murasaki.net[5078]: device is registered
Oct 25 23:07:51 web murasaki.net[5078]: execute ifup ppp0 (null)
Oct 25 23:07:51 web pppd[5076]: Using interface ppp0
Oct 25 23:07:51 web pppd[5076]: Connect: ppp0 <--> /dev/pts/0
Oct 25 23:07:51 web pppoe[5077]: PPP session is 358
Oct 25 23:07:51 web pppd[5076]: local IP address 219.117.208.122
Oct 25 23:07:51 web pppd[5076]: remote IP address 202.215.232.195
早速、Web Serverの試験公開をスタートさせました。ドメインは未設定ですからIPアドレスの直接入力でアクセス可能となっています。
http://219.117.208.122/
Fire Wallに試験公開に必要な穴を開けました。
  • http tcp
  • ftp tcp
  • ftp-data udp
  • domain tcp
  • domain udp
  • ローカル側のみicmp
  • ローカル側のみssh tcp

以下が、現状のiptablesの起動スクリプトです。
#!/bin/sh
#firewall setup shell script
#Ver.1.4 2002/10/29

# initialize
iptables -F
iptables -t nat -F

iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

#IP Masquerade
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# filter
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -i eth0 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport domain -j ACCEPT
iptables -A INPUT -p udp -i eth0 --dport domain -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport http -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport ftp -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport ftp-data -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT

iptables -A INPUT -p tcp -i ppp0 --dport domain -j ACCEPT
iptables -A INPUT -p udp -i ppp0 --dport domain -j ACCEPT
iptables -A INPUT -p tcp -i ppp0 --dport http -j ACCEPT
iptables -A INPUT -p tcp -i ppp0 --dport ftp -j ACCEPT
iptables -A INPUT -p tcp -i ppp0 --dport ftp-data -j ACCEPT
iptables -A INPUT -i ppp0 -j LOG

# established connection
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# forward from local-network
iptables -A FORWARD -i eth0 -j LOG
iptables -A FORWARD -i eth0 -j ACCEPT

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
insmod ip_nat_ftp
insmod ip_conntrack_ftp
ローカルLAN内から外部に転送されるパケットのlogを取得しています。これにより塞ぐべきポートがあればフィルタを追加していきたいと考えています。

フィルタの追加(02/11/02)
10月末にinterlinkのMOOTサービス(2ed DNSサービス)が再開される予定でしたが未だに再開されません。サーバの設定は停止状態。
この2〜3日、当社のお客様でワーム(w32.opnserv)に侵入された方が何件かありました。このワームはnetbiosが使用するPort 137-139を使ってシステムに侵入するもので、Windowsのバグを利用して増殖します。念のためにローカル・ネットワーク内から出て行くMicrosoft Network関係のパケットを破棄するフィルタを追加しました。
#!/bin/sh
#firewall setup shell script
#Ver.1.5 2002/11/01

# initialize
iptables -F
iptables -t nat -F

iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

# IP Masquerade
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# filter
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -i eth0 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport domain -j ACCEPT
iptables -A INPUT -p udp -i eth0 --dport domain -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport http -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport ftp -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport ftp-data -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT

iptables -A INPUT -p tcp -i ppp0 --dport domain -j ACCEPT
iptables -A INPUT -p udp -i ppp0 --dport domain -j ACCEPT
iptables -A INPUT -p tcp -i ppp0 --dport http -j ACCEPT
iptables -A INPUT -p tcp -i ppp0 --dport ftp -j ACCEPT
iptables -A INPUT -p tcp -i ppp0 --dport ftp-data -j ACCEPT
iptables -A INPUT -i ppp0 -j LOG

# established connection
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# forward from local-network
iptables -A FORWARD -o ppp0 -p tcp --dport 137:139 -j DROP
iptables -A FORWARD -o ppp0 -p udp --dport 137:139 -j DROP
iptables -A FORWARD -o ppp0 -p tcp --dport 445 -j DROP
iptables -A FORWARD -o ppp0 -p udp --dport 445 -j DROP

iptables -A FORWARD -i eth0 -j ACCEPT

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
insmod ip_nat_ftp
insmod ip_conntrack_ftp
それにしても頻繁にserverのlogに、Port 137/udpを突付いてくるパケットが記録されています。w32.opaservが活発に活動していると思われます。

システムの入れ替え(02/11/08)
待てど暮らせどMOOTサービス(2ed DNSサービス)の再開の気配がありません。問い合わせのMailを出しましたら、Mailでサービス受付をやって貰えるそうです。早速、申込みのMailを送りました。近日中にドメインでの運用が開始できそうです。

昨晩、思い立ったようにシステムの入れ替えを行ないました。と言うのが手元にあったCube FV24は、あまりにも電源ファンの騒がしさに閉口して放置していたのですが、その有効利用を考えてlinux-box化することにしました。amanjako serverを設置しているのは家の屋根裏部屋ですから、少々の騒音は問題になりません。

以下がそのスペックです。

スペック
Shuttle FV24
メーカーURL http://www.spacewalker.com/english/
マザーボードタイプ FlexATX
サイズ 190×177mm
チップセット VIA Apollo PL133T
CPU Celeron 1GHz(100MHz×10倍)
メモリ 256MB
HDD Maxtor 20GB/5400rpm
O S Turbo Linux Server 7.0

「インテルの純正チップが好きだ」派の私に取って、互換チップのマシンにLinuxをインストールしてserverとして運用することには抵抗があったのですが、今回チャレンジしてみることにしました。

Linuxのインストールに若干手間取りましたが、入ってしまえばこちらのもの。設定ファイルは前サーバのものを流用できますので、思ったよりも短時間に移行を完了しました。

New Amanjako Server System まさにLinux-Box
New Amanjako Server System まさにLinux-Box

コンパクトなケースですから、連続運転時の温度上昇が気になりますが、CD-ROMやFDDを取っ払っていますので、ケース内にはかなりの余裕があります。はてさて、この互換チップのServerが安定して運用できるか興味を持って見守りたいと思っています。

Copyright 2002 Takata Dentsu Kogyo Co. All rights reserved.