さくらのクラウドのサービスにVPCルータというのがありますが、今一つセキュリティ設定が分かりません。
最初に何かを求めてこのブログに来てしまった方の為に、書いておきますが、
ココに注意
逆に教えてほしいから記事にしてみた!
って感じのブログになります。
何がしたいのか!?不安なのかをまとめる
VPCルータを導入したのは、クラウドにWindowsServerが動いているので、それにVPN接続したい為に設置しました。
今のところ、L2TP/IPsecサーバを設定して、各パソコンからVPN接続をしています。
DHCPサーバーが動いてないので、各パソコンに固定IPを振れば何の問題もなく接続できたのですが、それに気づくまで接続できなかったり、できても2回目ができなかったりと大変でした。
そして、次にセキュリティ設定を始めたのですが、全ての受信IPを遮断して、
やりたい事
インターネット上のFTPサーバーにバックアップデータを転送したい
のですが中々うまく行きませんでした。
当たり前に、上のようなファイアーウォール設定では、VPCルータで外側の世界には送受信ともブロックしているのでできませんでした。
ここからがよくわからずに無限地獄のスタートでした。
FTPクライアントは、メジャーなFFFTPを使いましたが、プロパティの拡張を見ると、21番ポートを使用しているようなので、FFFTPをしようとしてるVPN内部のパソコンの固定IPとポートをオープンにしてみました。
それでもダメなので、NATの設定をしてみたり、様々な組み合わせをやってみたのですが、1日で終わりそうもないので諦めました。
VPCルータの受信側は全ブロック
VPCルータのファイアーウォールって受信側と送信側ってあるけど、
ココがポイント
VPCにぶら下がっているサーバを公開しない限りは、両側ともブロック
していて良さそうですね。
WEBサーバーなどでホームページを公開するときだけ80ポートを解放するような使い方でいいらしいことが、さくらのクラウドのマニュアルページに書いてありました。
VPCルータにぶら下がってるPCからFTP
受信側は完全ブロックしていても送信側が開いていれば全く問題なくFFFTPの接続ができます。
ネットワークに詳しくない自分としては、
疑問!?
送信側も使うポートだけ空けておきたい
と思うのが本音です。
それなので、またいろいろと設定しましたが、難しい。
送信方向に全く使ってなさそうなポートを閉じただけでも、FFFTPも通常のWEB表示もできなくなりました。
が・・・・
ココに注意
宛先ポートにも同じポート番号をいれた
ら、WEB表示だけするようになりました。
つまり、宛先ポートに何も入れないと全ポート対象になってしまうのでしょうかね。
とりあえずセキュリティ対策になった!?
FFFTPは、21ポート以外にもポートを使う事が分かった。
どうも、上の接続エラーを見ると、60640ポートを使っているようです。
しかし、何回が接続を試すと、そのポートは変わりました。
下記のサイトからポートの勉強をさせてもらいました。
それによると、IANAという団体により管理されているポートが
参考
ウェルノウンポート番号 0-1023 メジャーなサービス関係が利用
レジスタードポート番号 1024-49151 特定のアプリケーションなどが利用
自由利用ポート番号 49152~65535 利用者が自由に使ってよいらしいポート
つまり、FFFTPだけ外部に接続させたい場合は、
21ポートと、49152-65535ポートの送信側を開けておけばいいってことでしょうかね!?
とりあえず、1-20と22-49151ポートは、ブロックしてみました。
実際この設定でFFFTPを接続してみると外部のFTPサーバーにも接続することができました。
ちなみに、WEBブラウザも閲覧することができました。
ネットワークに疎いのでなんか不思議な感じですが、こんな感じでセキュリティ対策になっていますかね!?
とりあえずVPCルータの外側からのポート(受信側)は全て閉じてあるのでOKですね。
送信側もこれだけ絞っておけば、勝手に何かを送信されることも減りますかね。
何か、初心者でも学習できるサイトなどあったら教えてくださいませ!!