- ベストアンサー
Webサーバ
自宅Webサーバ(html文書)を公開するためにはどういった手順が必要でしょうか? 具体的に知りたい内容は、 ・ISPは@niftyですが可能なんでしょうか? ・グローバルIPアドレスは申請するだけで誰でも簡単に取得できるものなんでしょうか? ・ルータは特別に用意する必要があるのでしょうか? 現在使用しているレンタルモデムでもかまわないのでしょうか? ・通常WebサーバはNATを設定されたルータにつながっているということですが、 そうすると回線をもうひとつ繋がなくてはならないのでしょうか? ・NAPTならばひとつのIPアドレスに複数台のPCをつないでインター ネットと通信できるということですが、 その場合、Webサーバと同じセグメントにつながれた公開したくないPCに危険はないのでしょうか? 以上よろしくお願いします。
- みんなの回答 (8)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (7)
- o_tooru
- ベストアンサー率37% (915/2412)
> 外部からのアクセスはルータの設定でWebサーバにいくようになって > いるというような意味でしょうか? そうです。私の場合は、現在Web鯖以外は考えていないので、外部から80番ポートにアクセスがあった場合は、192.168.*.XのApacheが動いている鯖に行くようにしています。 > そうですね、サーバが乗っ取られるとすれば、rootユーザのパスワードがばれて > telnet等で操作されるときでしょうか? ここいらへんの手法が私もよく分かりません。相手がどの様な手段で入ってくるのかが分かりません。そのために私としてはWebサービスしか公開する気がないのですが。Webサービスにおいても、入り込む手法があるようで、それなりに注意しなくてはならないようですが。 > 一応公開するための領域はパーティションを分けて作ってあり、telnet等 > も使えない設定にしてありますが、 telnet使えないと不便じゃありません?私の所では、SSH1を使ってtelnetで入っています。ローカル側からだけですけど。 > 他に気をつけること等あるでしょうか? 私も分からないので、サービス等は極力落としてしまい、必要なものしか動いていないようにしています。後はchkrootkitというアプリがありますので、それを入れてうごかしています。rootkit仕込まれたら終わりですので。 あと、ルーターの設定をいじる必要が出てくるのかな? ルーターのマニュアルも読む必要がありますよね。あたりまえですが、ルーターこそ乗っ取られたら終わりですから。これも適切な設定にする必要があります。 ・・・・って、パスワードを類推されにくいものにしているだけですけど。w
お礼
回答ありがとうございます。 >>telnet使えないと不便じゃありません? 私はサーバPCとクライアントPCが隣同士に置いてあるので、 PC切り替え器を使ってディスプレイ、マウス、キーボードを共有しています。 なので特にtelnetは使用しないといった感じです。 >>後はchkrootkitというアプリがありますので、それを入れてうごかしています。 >>rootkit仕込まれたら終わりですので。 rootkit‥、全然知りませんでした。ありがとうございます。 やはりWebサーバは他のサービスを使用せず、Webサーバ専用として動かすのが セキュリティとしては一番いいんですかね? まぁ、壊れてもいいような古いPCに入れているのでよっぽどひどいことにはならないと思いますが‥。
- o_tooru
- ベストアンサー率37% (915/2412)
こんばんは、疑問はつきませんね。 さてご質問の件ですが、私もniftyを使っています。 鯖を公開するには色々な方法があるかと思います。私の場合は、ルーターの機能としてついてきた、DDNSを使っています。ショボイドメインになってしまいますが、無料ですので。 このドメインに対して外部からアクセスが来たときは、ルーターの設定で、NATの内部のPCに対してフォワードを掛けています。 それ以外は、まったく一般的なLANですので、LANの内部には鯖とは別に複数のネットワーク機器が存在します。 鯖と他のネットワーク機器とは同じセグメントの中に存在しますので、まったく危険がないかといえば、有ると思います。鯖が乗っ取られてしまえば、同一セグメントにある機器は危険にさらされます。
お礼
回答ありがとうございます。 返信が遅くなり申し訳ありません。 #6の方と同じような運用をしていらっしゃるということですよね? フォワードという言葉が聞き慣れませんが、 外部からのアクセスはルータの設定でWebサーバにいくようになっているというような意味でしょうか? >>鯖が乗っ取られてしまえば、同一セグメントにある機器は危険にさらされます。 そうですね、サーバが乗っ取られるとすれば、rootユーザのパスワードがばれて telnet等で操作されるときでしょうか? 一応公開するための領域はパーティションを分けて作ってあり、telnet等も使えない設定にしてありますが、 他に気をつけること等あるでしょうか? もちろん、各種インジェクション等気をつけることはたくさんあると思いますが、 初心者がよくやるミス等ありましたら、ご教授くださいm(__)m
- mac_res
- ベストアンサー率36% (568/1571)
No.3です。 >>このISPは別に契約をしなくてもグローバル固定IPを1個基本料金に含んでいます。 >これは@niftyと重複して申し込めるという理解でよいのでしょうか? いいえ、@niftyからASAHI-NETに乗り換えると言うことです。 @niftyのインターネット接続以外の機能を利用している場合は、オープンコースに申し込んで、ASAHI-NET経由で@niftyに接続します。 http://www.nifty.com/support/member/open.htm
お礼
回答ありがとうございます。 返信が遅くなり申し訳ありません。 ISPを変えるということですか。 ASAHI-NETは固定IPでもらえるということなんですね。 ISPを変えるとインターネットにつながるまでまた長い時間待たされるので、 他の方のおっしゃる@niftyの方法でやろうと考えています。 しかし私は各ISPの運用自体よく知らないので、他のISPと比べてみて勉強にはなりました。 ありがとうございました。
- NINJA104
- ベストアンサー率43% (133/306)
@niftyはDynamicDNSを付加サービス(有料)として提供しています。 例えば http://(なんちゃら).atnifty.com/ というドメインで運用しているサイトはこのサービスを利用しています。 ちなみに私も運用しています。コース:@nifty+ADSL(ACCA) レンタルモデムがルータ機能を備えているものであれば、静的NATでポート解放と転送(ポートフォワーディング)設定を行なえば良いでしょう。 その際に注意する事は、公開するPCはDHCPによるIP割り当てを行わず、予め固定で割り当ててておく事が重要です。
お礼
回答ありがとうございます。 ここで質問させていただいて、私もその方法で行おうかと考えています。 NATで設定を行っても複数PC(インターネット等、普段使用しているクライアントと今回公開予定のWebサーバ)を 繋ぐことは可能なのでしょうか?
- mac_res
- ベストアンサー率36% (568/1571)
ASAHI-NETで、自宅WEB Serverを運用しています。このISPは別に契約をしなくてもグローバル固定IPを1個基本料金に含んでいます。 ルーターは回線がB-Flet'sなので、NTT東日本からレンタルされたRT-200NEを使っています。 回線は1本で、NAPT機能でPORT 80をWeb Serverに飛ばしています。DNS, Mailも同様にNAPTで飛ばしています。 Serverがとまると、DNSも自前なので、Mailがhost unknownで帰ってしまう危険があるため、DNSは友人と、お互いにセカンダリーサーバーになっています。
お礼
回答ありがとうございます。 >>このISPは別に契約をしなくてもグローバル固定IPを1個基本料金に含んでいます。 これは@niftyと重複して申し込めるという理解でよいのでしょうか? そうすると、レンタルモデムのDHCP機能を止め、ルータにつないで 自宅内でASAHI-NETからのIPと@niftyからのIPを ルーティングするような運用をするという理解でよいのでしょうか? 勉強不足で申し訳ありませんが、よろしくお願いします
- don_go
- ベストアンサー率31% (336/1059)
@niftyなら、アット・ホームページを利用した方が良いのでは? 機器や回線・セキュリティ管理等に苦しむ必要が有りません。 http://homepage.nifty.com/
お礼
これは@niftyのサーバ上に自分のWebページをつくる感じでしょうか? サーバマシン自体は自己で保有しているため、 勉強のためにやってみようと考えています。 回答ありがとうございました。
- shogo0809
- ベストアンサー率47% (25/53)
> ISPは@niftyですが可能なんでしょうか? @niftyなら可能だったと記憶しています。 ISPの規約を読み、禁止されていなければOKです。念のためご自分で確認されることをオススメします。 > グローバルIPアドレスは申請するだけで誰でも簡単に取得できるものなんでしょうか? グローバルIPはCATV等でない限りネットに繋がっている以上誰もが取得しています :-) ……と揚げ足をとってすいません。「固定IP」という意味でしたら、ご契約中のISPに申し込むことで取得することが出来ます。 @niftyでしたらこちら。 http://www.nifty.com/staticip/ > ルータは特別に用意する必要があるのでしょうか? WEBを公開することで以前より攻撃されやすくなることは容易に予想できますよね? その攻撃をルーターによってある程度防ぎたいならばそういった製品の購入を考えてみては。 単に「WEBを公開する」だけでしたらモデムでも可能です。Air Edgeでもできますよ。 > 通常WebサーバはNATを設定されたルータにつながっているということですが、そうすると回線をもうひとつ繋がなくてはならないのでしょうか? 上記の通り、特別に回線を引く必要はありません。 > NAPTならばひとつのIPアドレスに複数台のPCをつないでインターネットと通信できるということですが、その場合、Webサーバと同じセグメントにつながれた公開したくないPCに危険はないのでしょうか? Webサーバーを公開することでそのIPに対する攻撃の頻度は上がりますが、 「別PC」へのポート転送を設定しなければよいだけだと思います。 ……が、たとえWEBを公開せずに、様々な対策を施した上でどんなに手を尽くしても危険が「ない」なんてことはありえません。 ちなみに、ご存じかもしれませんが固定IPを取らなくてもDDNS使えばWEBは公開できます。 また、特に理由がなければ別途レンタルサーバー等を借りることをオススメします。 一番、セキュリティ的にも安全です。
お礼
ひとつひとつ丁寧に回答していただきありがとうございました。 おかげさまでどうにかなりそうな感じです。 DDNSというものも微塵も知りませんでした(^^; ありがとうございました。
お礼
回答ありがとうございます。 返信が遅くなり申し訳ありません。 なるほど、NATを使用しても、複数PCをインターネットと繋ぐことは可能なんですね。 そうするとNAPTの必要性はどこにあるのでしょうか? LANポートの口(ローカルエリア側)が複数あるルータにはNAPTを使用するということでしょうか?