ADSLで常時接続 - ホームサーバを作ろう

戻る

メニュー

レンタルサーバ
ドメインつきレンタルサーバです
サイトトップ
自宅サーバトップ
Windows2000
セキュリティと接続の共有
動的IPでサーバ公開するには
Apacheの導入
ActivePerlの導入
BIND8の導入
XMailサーバの導入
fmlの導入
OpenBlocksS(Linux)
OpenBlocksをADSLに繋ぐ
iptablesの設定
Apache, sendmailの移行
fmlの移行
Windowsとのファイル共有
自動起動、APTの設定
ApacheのWebDAV対応
ログローテーション
ApacheのSSL対応(mod_ssl, openssl)
Yahoo!BBへのプロバイダ移行
APTの利用

1、セキュリティを高めるためのOSの設定

実はOSの設定がデフォルトの状態で常時接続を行うことはセキュリティ的に非常に危険だったりします。という訳で最低限の設定を行います。以下の設定は、すべてadministratorでログオンして行います。

(1)コンポーネントの無効化

Windows2000の場合、「マイネットワーク」→「プロパティ」で開いたウインドウから「デバイスがADSLモデムにつながっているほうのNIC」の接続、と「NTS Enternet P.P.P.o.E Adapter」の接続に関して以下の手順を繰り返します。



図1
 		 まず接続を右クリックしプロパティを選択します。左図(図1)が表示されますので、

・Microsoftネットワーク用クライアント
・Microsoftネットワーク用ファイルとプリンタ共有
のチェックをはずします。
次に図1でTCP/IPを選択して、プロパティボタンを押します。


図2
 		 プロパティボタンを押すと図2が表示されます。

この画面で右下にある詳細設定ボタンを押します。


図3
 		 表示された画面でWINSタブを選択すると左の画面(図3)になります。

デフォルトでは「Netbios over TCPIPを有効にする」が選択されているので、「Netbios over TCPIPを無効にする」を選択し、OKを押します。

この辺の詳細は、MicrosoftのTechNetに解説があります。
 

 

(2)TCP/IPフィルタリングの有効化


図4
 		 図3でオプションタブをクリックすると、左図(図4)が表示されます。ここで「TCP/IPフィルタリング」を選択しプロパティボタンを押します。

図5		 左図(図5)が表示されるので、TCPポートは「一部許可する」に変更します。提供したいサービスがあるときは、そのサービスが使うポート(WWWなら80など)を追加ボタンを押して追加します。

VPNなどTCPやUDP以外のプロトコル番号を使用するサービスを使用しない場合は、IPも「一部許可する」に変更します。インターネット共有を使用する場合、UDPはすべて許可するのままにしておきます(DNSのUDP実装仕様の関係)。

ちなみに、OKを押して終了しますが、このときWindows2000にしては珍しく再起動を要求してきます。

 

 

<TCP/IPフィルタリングに関する注意>

TCP/IPプロトコルスタックの実装に依存しているため、TCP/IPのセキュリティホールがMicrosoftから発表されていないか注意する必要がある。

MicrosoftのTechNet Onlineや、Microsoft Product Security 警告サービス 日本語版などを参照して、必要な修正プログラムを適用しなくてはならないです。その他、Windows2000 Insiderなんかも参考にしてください。
 

TCPの通信は設定したインターフェイスに対するSYNのみパケットが拒否される

つまりIPパケット中の"Distination" = "設定を行った接続"であるパケットに関して有効である点に注意。またTCPの場合、SYNにのみ有効であるので、"Source" = "設定お行った接続"で"Distination" = "外部"の通信、つまり設定を行ったマシンからの通信(ネットワークを使うアプリケーション使用)には影響を与えない。

 

 

(3)その他

面倒くさがらずに、administratorのパスワードをきちんと(5文字以上で英語と数字を混合するなど)設定するとか、AnonymousFTPをIISで上げるのでないならばGuestアカウントは無効になっていることを確認するとか、不必要なサービスは動かさないとかもやらないと、いくらアプリケーション層以下でセキュリティに気を使っても片手落ちです。その辺のOS設定にも気を使いましょう。さらにアプリケーション側でもセキュリティに気を使い、何重にも対策を行う事が一番重要です。

 

 

2、1つの接続を複数台のPCで共有するには?

高速・常時接続であるADSLをたった1台で使うのはもったいないです。そんな考えが浮かんだときはアクセスルータとかを買うのも良いですが、もっと手軽に行うには「インターネット接続共有」を使用します。「インターネット接続共有」を使用すると、共有設定したマシンが家庭内からインターネットに対する共通の出口となり、家庭内LAN内のすべてのクライアントからインターネットへのアクセスを可能にすることができます。

<手順>

(1)2枚のEthernetカードをPCに装着する

ネットワーク図

図6
 		 2枚のEthernetカードを使用し、図5のように1枚をインターネットに、1枚を家庭内LANへ、といった形態の接続になります。

(2)「NTS Enternet P.P.P.o.E Adapter」を開く



図7
 		 「NTS Enternet P.P.P.o.E Adapter」を選択し、右クリック->プロパティを選択します。

(3)インターネット共有を有効にする



図8
 		 共有タブをクリックすると左図(図8)が表示されます。「この接続でインターネット共有を使用可能にする」にチェックを入れて完了です。

(4)LAN側クライアントの設定

設定といっても、コントロールパネル -> ネットワーク -> TCP/IPのプロパティで「IPアドレスを自動的に取得」にするだけです。

<「インターネット接続共有」に関する注意事項>

IPマスカレードではなくNATです

複数のサービスをポート番号で管理する訳ではないので、1つのIPしかもらえない東めたのSingleで同時に複数台のアクセスはできません。といっても、FTPなど2つのセッションを同時に張る通信以外、本当に同時にアクセスがあることはめったにないし、再送制御が働くのでメールをやってインターネットを見る分には何ら問題はありません。

プロバイダとの契約に注意

東めたは、LAN側はどうしようと自由、という契約なのでインターネット接続共有を使用しても良いが、J-COMなどのCATVだとNATは不可、という契約が多いようです(ユーザーごとに割り当てられる帯域幅に不公平が生じるから、らしいです)。

次(動的IPでサーバ公開するには)へ
Copyright (C) 2000-2005 俺 All Right Reserved