このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

ファイアーウォール設定、海外からアクセス centos5.0 このメッセージに返信する
日時: 2008/05/09 19:48
名前: ぽる
URL:
こんにちは。
早速質問なのですが、
このサイトをみてWEBサーバを立てる事が出来まして、
FTPサーバで外部(フィリピンに住む友人)からアクセスを試みているのですが、
どうしても上手く行きません。(日本は確認済み、出来てます。)
http://centossrv.com/iptables.shtml
上記ページを見る限りでは、

■ファイアウォール設定スクリプト作成
「iptables.sh」内の
# 日本からのアクセスを許可するユーザ定義チェインACCEPT_COUNTRY作成
iptables -N ACCEPT_COUNTRY
ACCEPT_COUNTRY_MAKE JP
ACCEPT_COUNTRY_MAKE PH # ←フィリピン追加

■IPアドレス更新チェック
「/etc/cron.daily/iplist_check.sh」内の
# チェック国コード
COUNTRY_CODE='JP CN KR TW'
↓変更
COUNTRY_CODE='JP CN KR TW PH'

とするだけで問題なく動くと思ったのですが、フィリピンがはじかれてしまいます。

もしやと思い、友人のWAN側IPアドレスを教えてもらい、
参照最新IPアドレス集
http://nami.jp/ipv4bycc/cidr.txt
に検索をかけたところ、合致するフィリピンIPが書かれていませんでした。

解決策として、
IPアドレスリスト取得関数定義
「iptables_functions」内
関数IPLISTGET()

最新版IPアドレスリストを /tmpへバックアップする
の段階でIPを追加すればいいと考えました。(非固定だとその場しのぎですが。。。)
具体的には

#最新版IPアドレスリストを /tmpへバックアップする
  /bin/cp cidr.txt /tmp/cidr.txt
echo "PH xxx.xxx.xxx.xxx" >> /tmp/cidr.txt ←追加

この後ソートをかけて入れなおしたりもしたのですが、駄目でした。
誰か分かる方、よろしくお願いします。
記事編集 編集
Re: ファイアーウォール設定、海外からアクセス cento このメッセージに返信する
日時: 2008/05/09 20:44
名前: aki
URL:
ファイアウォールの設定を変更した後、再起動してますか?
記事編集 編集
Re: ファイアーウォール設定、海外からアクセス centos5.0 このメッセージに返信する
日時: 2008/05/09 21:01
名前: ぽる
URL:
aki様返信ありがとうございます。
>ファイアウォールの設定を変更した後、再起動してますか?

はい、問題なくかけています。
具体的には
./iptables.sh ← ファイアウォール設定スクリプト実行
ですね
コマンド打ちして設定をしなおしています。
記事編集 編集
Re: ファイアーウォール設定、海外からアクセス centos5.0 このメッセージに返信する
日時: 2008/05/09 21:21
名前: Vincent
URL:
cidrというか、サブネットの計算できますか?
記事編集 編集
Re: ファイアーウォール設定、海外からアクセス centos5.0 このメッセージに返信する
日時: 2008/05/09 21:26
名前: ぽる
URL:
ちょっと疑問に思った事があるんですが、
IPアドレスの書き方って
■EUの例
EU 193.201.72.0/23
EU 193.201.102.0/24
EU 193.201.147.96/27
EU 193.201.147.160/27
って書いてあるんですけど、
スラッシュの後はその数値から何個までって事でいいんでしょうか?
となると直接193.201.147.96と打つと問題あったりしますかね?
193.201.147.96/1 とかの書き方の方がいいんでしょうか・・・?
記事編集 編集
Re: ファイアーウォール設定、海外からアクセス centos5.0 このメッセージに返信する
日時: 2008/05/09 21:30
名前: Vincent
URL:
ひとつだけ許可したいときは/32を指定します。
あと、個数といえばまぁ個数ですけど
サブネットマスクの概要を理解すると多分IPを見つけれます。

http://www.itbook.info/study/p58.html
記事編集 編集
Re: ファイアーウォール設定、海外からアクセス centos5.0 このメッセージに返信する
日時: 2008/05/09 23:36
名前: ぽる
URL:
Vincent様、返信ありがとうございます。

>ひとつだけ許可したいときは/32を指定します。
>あと、個数といえばまぁ個数ですけど
>サブネットマスクの概要を理解すると多分IPを見つけれます。
>
>http://www.itbook.info/study/p58.html

サブネットマスクですが、申し訳ありません、まだ知識が足りず、
理解する事が出来ませんでした・・・。
WAN側のIPそのままでは設定出来ないという事は理解出来ました。

>サブネットマスクの概要を理解すると多分IPを見つけれます。
要約すると「IPがリストに入ってるのでは?」という事ですよね?

試しにFTPのファイアウォールを切って(中国、韓国、台湾を抜いた全国対応)
アクセスを促したところ、(ポート番号21 ポート番号60000〜60030で大丈夫ですよね?)
フィリピンの友人からアクセス出来ない事が分かりました。

友人のパソコンの設定がアクセス出来ないと判断してもよろしいでしょうか?
記事編集 編集
Re: ファイアーウォール設定、海外からアクセス centos5.0 このメッセージに返信する
日時: 2008/05/13 15:47
名前: たかば
URL:
「アクセス出来ない」と言っても想定される現象が色々あり、
・コネクションが張れない
・ユーザ認証が出来ない
・ディレクトリ一覧が見れない
などがあります。

レスの流れ的にiptablesの問題になっていますが、
それが原因なのかすら現時点では不明なので、まずは原因の切り分けから行いましょう。

1.ファイアウォールを完全に止める(FTPを、フィリピンを、ではなくiptables stopで)
2.友人のFTPクライアントの設定を確認する(ホスト名、ポート、PASV、PORT etc)
3.vsFTPdのログに何か記録されているか
4.友人からぽるさんのhttpdは参照できるのか

この4つを試すだけで何が原因か大まかに検討がつくと思います。


> アクセスを促したところ、(ポート番号21 ポート番号60000〜60030で大丈夫ですよね?)
FTPクライアント側で設定するのは上記で言えば「21番ポート」だけです。
60000〜60030番ポートはPASV接続用のポートで、サーバ側の設定になります。
記事編集 編集
Re: ファイアーウォール設定、海外からアクセス centos5.0 このメッセージに返信する
日時: 2008/05/15 01:48
名前: ぽる
URL:
返事遅くなってしまいすみません。
たかば様返信ありがとうございます。

姪が生まれたのなんだと、少しインターネットから離れていました。

近況なのですが、フィリピンの友人はアクセスする事が一応出来ました。
一応という部分は、SSL接続(暗号化)しないでのアクセスが出来ます。
日本の友人はSSL接続できるのですが、フィリピンの友人は出来ませんでした…。
これはファイアウォール設定とは違う気がするので、
少しログを見て検討した結果、分からない時はもう一度スレッドをたてる事にして、
今回は以上で解決という事にします。

返信くださった皆様ありがとうございました。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -