自宅FTPサーバをインターネットに公開する場合のネットワーク関係の動きについて、おやじなりに整理して見ました。 ここでの前提条件は、自宅サーバにはプライベートIPアドレスが付与され、NATルータを介してインターネットに公開されているという極一般的な環境を想定しています。なお、ルータの機種によっては、NATルータ使用時のFTPの問題に対処しているものもあるので、ここでは通信不可となっている通信形態でも通信できることがありますので、まずは、特別な対処をしないで動かしてみることを薦めます。その結果、PASVがうまく動作しない場合は、こちらで述べていることに該当する可能性が大きのでデーモンでの対処が必要になります。 が
In everyone's life a little rain must fall. My main Linux workstation at home suffered a hard drive failure the day after Christmas. I can only guess I was bad last year and Santa turned my hard drive into a lump of coal as punishment. Unfortunately, at some point over the year I introduced a typo in a script I used to backup my personal website and some other data on that particular computer. Alo
Intro The firewall can use IPTables to forward packets between the Internet and the internal network. IPTables is the interface to changing the built in netfilter firewall built into the Linux kernel. We'll also use IPTables to forward SSH requests for the firewall to the head node, making the firewall transparent. (Users of the cluster should interact with the head node, not the firewall.) For my
設定例 下記の設定例では説明用のグローバルアドレスとして172.16.0.1を使っています。 1. IPsecクライアントからのリモートアクセス [ネットワーク構成] [設定のポイント] 端末からRTX3000に対してIPsec VPNを接続します。 端末は移動するものとし、アドレスも変化するものとします。 端末はNATの内側に入るときと、入らないときがあります。 RTX3000と端末のIPsecクライアントにNATトラバーサルを設定します。 NATの有無は自動的に検出できるので、端末がどこにいても、 NATトラバーサルの設定を消す必要はありません。 [RTX3000の設定例] # # IPsecの設定 # tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc sha-hmac ipsec ike local
概要主なパッケージiptables psad主な設定ファイル・ディレクトリ/etc/network/if-pre-up.d/iptables.sh (ファイル名は任意) /etc/psad/psad.conf /etc/rsyslog.conf主な要件ルーターマシンにおける設定をおこなう。 Internet側からのアクセスには制限をかけ、LAN側からのアクセスは許可する。 IPマスカレードを行い、パケット転送を行う。 PSADによりポートスキャンを検出する。参考$ man interfaces $ man iptables $ man psad http://www.cyberciti.biz/faq/linux-detect-port-scan-attacks/基本方針iptablesはコマンドによりルールを設定していくが、通常はスクリプトファイルとして作成し、一度に実行する。 スクリプ
Network address translation traversal is a computer networking technique of establishing and maintaining Internet Protocol connections across gateways that implement network address translation (NAT). NAT traversal techniques are required for many network applications, such as peer-to-peer file sharing and voice over IP.[1] Network address translation[edit] This section does not cite any sources.
【例1】フィルタ iptables -P INPUT DROP iptables -A INPUT -t filter -p TCP -d 192.168.0.1 --dport 22 -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -t filter -p TCP -d 192.168.0.1 --dport 53 -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -t filter -p TCP -d 192.168.0.1 --dport 80 -s 192.168.1.0/24 -j ACCEPT →192.168.1.0/24(送信元)から192.168.0.1(宛先)へのTCP(SSH,DNS,HTTP)通信を許可しその他は破棄します。 【例2】NAT iptables -P FORWARD
「Debian GNU/Linux で L2TP / IPsec を使用する VPN サーバを設定する (サーバ側で NAPT する場合)」の記事を Debian GNU/Linux 7 Wheezy の StrongSwan で設定した場合の自分用備忘録です。 続きを読む → と言うメッセージが出て、Debian GNU/Linux squeeze なサーバに、iOS デバイスや、OS X から IPsec にて接続出来ない現象が発生しました。 どうやら、openswan のバージョンが「1:2.6.28+dfsg-5+squeeze2」だと、同じ設定でそれ以前のバージョンで上手く接続出来ていても、問題が起こるようです。 と言うことで、 # apt-cache showpkg openswan # apt-get install openswan=1:2.6.28+dfsg-5+sque
IT技術を中心に、暮らしに役立つ情報からクラシック音楽の解説まで気軽に情報発信しています。 WEBサイトはhttp://toremoro21.world.coocan.jp/ Twitterは@toremoro21です。 P2Pを含めた通信サービスにおいて、NATは外部からの通信を遮断する厄介なネットワーク機構です。そのため昔からNAT越えをするための研究が行われていました。 しかし、結構泥臭い研究開発のせいか、日本ではあまりNATに関する研究開発がありませんし、NAT越え研究の意義があまり世間に知られてないようです。これは大変残念なことです。 私は昔からNAT越えに興味があり、Skypeが出たころからBlogでUDP Hole Punchingを使っている可能性があることを指摘したことがあります。現在ではNAT越えがまさしく本業になっていて、IP電話のNAT越えや最近有名になっているI
Windows 7 から L2TP-VPN に接続する CentOS 6.0 で L2TP-VPN サーバを構築する で用意した L2TP-VPN サーバーに Windows 7 (x64) から接続する方法です。 Windows 7 から接続する場合には、【コントロールパネル】の【ネットワークとインターネット】にある【ネットワークと共有センター】を開き、"新しい接続またはネットワークのセットアップ" を行います。 接続オプションで "職場に接続します - 職場へのダイヤルアップまたは VPN 接続をセットアップします。" を選択して次へ進んだら、新しい接続を作成して、"インターネット接続 (VPN)" を設定します。 そして "インターネットアドレス" に L2TP-VPN を構築したサーバーのドメイン名または IP アドレスを設定します。"接続先の名前" には何か判りやすい名前を付けて
NATの特性(NATタイプ) NATは標準仕様が存在しないため、製品によってふるまいが異なる。そして、そのふるまいはNAT越えの難易度に影響する。 STUN (RFC 3489) [1] では、NATのふるまいを4種類に分類している。Full Cone NAT < Restricted Cone NAT < Port Restricted Cone NAT < Symmetric NATの順に越えるのが難しくなり、既存のNAT越えアルゴリズムの多くはSymmetric NATを越えることができない。NAT越えの分野では歴史的にこの分類が用いられているが、これは現実のNATの特性を説明するには不十分であることがわかっている。 そこで、RFC 4787 [2] ではConeやSymmetricといった用語を使う代わりに個々のNATの特性 (behavior) を、Mapping Behavio
前々から設定しかけてはうまくいかなかった、Android向けL2TP/IPSecがようやく動くようになったので、どんな設定をしたかをまとめてみます。対象はDebian squeezeです。 パッケージとして必要になるのは、openswanとxl2tpdです。これらをapt-get installします。 まずopenswanの設定をします。これはIPSecの実装の一つです。もともとFreeS/Wanというプロジェクトがあったのですが、その開発が止まったためforkしてできたのがOpenswanです。ほかにStrongswanという実装もあるようですが、ここでは触れません。 /etc/ipsec.confというファイルが存在しているので、それを編集します。冗長なコメントは消しています。 次に、L2TP向けの設定ファイル/etc/ipsec.d/l2tp-psk.confを新規に作成します。
1 user(s) are online (1 user(s) are browsing MyWorks(記事)) Members: 0 Guests: 1 more... Android端末向けにL2TP/IPSec-VPNサーバを構築した。 もともと持っていたLifetouchBもIPSecクライアント機能は持っていたのだが、イマイチ気合が足りず構築に踏み切れずにいた。MEDIAS WP N-06CがIPSec対応であることに気付き、3G経由でのIPSec接続を試してみたくなり、改めてIPSec-VPNサーバを立ててみることにした。 Vyattaでアプライアンス……でも良かったのだか、先ずは稼働中の外向きサーバのGungnirでやってみた。結論から言うとVyattaの出番はなく、Gungnirで構築ができた。 先ず前提として、うちのサーバ群はNAPTの後ろで稼動しているので、通常のトラ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く