- 1. 概要
- 2. ポート開放
- 3. ポート番号
- 4. ポート遮断
- 5. 有効化
1. 概要
単に、クライアントのパソコンをつないでいるだけなら、セキュリティ上、いくつかのポートを閉じるにしても。
基本は、あまり開放することはありません。
グローバルに、例えば、ウェブサーバを公開したりする場合は、ポートを開放する必要があります。
ポートを開放するには、開放するためのフィルタを設定します。
2. ポート開放
簡単に、例えばウェブサーバのポート「80」を、やたら開ける場合は。
ip filter フィルタ番号 pass * * tcp,udp * 80
とコマンド入力します。
フィルタ番号は、コマンドリファレンスでは、1 ~ 21,474,836 と書いてあります。
(21,474,836 って 231 を 100 で割った数・・・どういう意味なんだろ?)
ただし、あらかじめ予約されたフィルタ番号もありますので、それをよける必要があります。
また、確か、数字の小さい順に処理していくので、順番を間違えると思った通りにはならなかったりします。
ちなみに、「ip filter」のパラメータの細かい説明は、コマンドリファレンスで確認するしかないですな。
3. ポート番号
ポート番号に関して、「well known port」で検索すれば、いくらでもあります。
ウィキペディアならば、「TCPやUDPにおけるポート番号の一覧 - Wikipedia」かな。
「Unix」系のオペレーティングシステムであれば。
/etc/services
に、「Windows」系ならば。
C:\Windows\System32\drivers\etc\services
に、ほぼ同じ内容のテキスト形式のファイルがあって。
# <service name> <port number>/<protocol> [aliases...] [#<comment>]
#
echo 7/tcp
という形式で記述されています。
だから、ここでくどくど述べることもないのですが・・・。
サーバあたりを公開するうえで、主なポート番号を並べておきます。
(ちゅうか、これを見て、拾い出して設定しようと思っている)
ポート
番号 | 意 味 | 備考 |
|---|
| 22 | ssh | |
| 25 | smtp | |
| 53 | domain(DNS) | |
| 80 | http(www) | |
| 110 | pop3 | |
| 123 | ntp | |
| 143 | imap | |
| 443 | https(www) | |
| 465 | smtps | |
| 587 | submission | |
| 993 | imaps | |
| 995 | pop3s | |
4. ポート遮断
どのポートもそうなのですが、特に「22:ssh」あたりは、やたらめったら、あけるのは危険です。
例えば、「192.168.0.0/24」のネットワークアドレスを持つ、「LAN」内からは、全部のポートを受け付けて、他は全部はじくには・・・。
ip filter フィルタ番号 pass 192.168.0.0/24 * tcp,udp * *
ip filter フィルタ番号 reject * 192.168.0.0/24 tcp,udp * 22
てな感じ。
これも、相当ゆるいですが・・・。
まぁ、方法はとめどなくあります。
5. 有効化
わはは、すっかり忘れておりました。
前項まで、開放/遮断のフィルタの定義について、書いておりますが、フィルタを定義しただけでは、機能しません。
フィルタを有効化する必要があります。
ブラウザでアクセスして。
ポートをかける側(LAN/PP)、アドレス割当(IPv4/IPv6)のうち対象となるものの「設定」
「IP フィルタ」で定義したものが、ずらっとならんでいます。
「適用 入/出」の欄で、何もチェックがはいっていないものは、定義しているだけで機能していません。
適用する側のチェックをいれます(ようわからんときは両方にいれておけば、間違いない)。
思い通りのチェックをいれたら、最下行へ移動して。
「設定の確定」
これで、定義したフィルタが有効になります。
|
