Linux で自宅サーバ [ Home Server Techncial ]

>>トップページに戻る

BBS 過去ログ No.0006に戻る

タイトル: iptableとパッケージ全般のご質問
記事No: 1666
投稿日: 2004/03/17(Wed) 15:44
投稿者: ナルダ
すみません、途中で投稿してしまいました。
間違えた方の削除をお願いします。

はじめまして、よろしくお願いします。
ゲスト版にも書かせていただきましたが、
こちらでも相談させていただきたいと思います。

まず、iptableの設定について
例えば、80番のポート空ける場合に
sportとdportを両方許可する必要があるでしょうか?
素人考えでは、dportさえ許可すればいいような気がするのですが。。
sportとdportの両方をあける例が多いようです。

それから、『Postfix+SMTP-AUTH』を検討しているのですが
Postfixをバージョンの古いものにした場合
セキュリティーホールなどの点で問題は無いのでしょうか?
(これはパッケージ全般に関するご質問です)

また、apt-getによって定期的にアップデートをしているのですが
そのときにPostfixのバージョンがあがって
不具合が生じるようなことは無いのでしょうか?

よろしくお願いいたします

タイトル: iptableのsportとdportについて
記事No: 1667
投稿日: 2004/03/18(Thu) 00:14
投稿者: kensuke@管理人   <webmaster@miloweb.net>
URL: http://www.miloweb.net/
> まず、iptableの設定について
> 例えば、80番のポート空ける場合に
> sportとdportを両方許可する必要があるでしょうか?
> 素人考えでは、dportさえ許可すればいいような気がするのですが。。
> sportとdportの両方をあける例が多いようです。

ざっくり調べてみました。

# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# iptables -A INPUT -p tcp --sport 80 -j ACCEPT

上記のルールの場合、
--dportは、そのホスト(自分のWEBサーバ)に対する80番ポートへの接続を許可しています。
これがなければ、外部からの自分のサーバの80番ポートへのパケットがサーバに届きません。
(たとえWEBサーバが起動していても届きません。)

次に、--sportについて。
これは自分のWEBサーバの動作とは関係なく、そのホスト(自分のサーバの事です)が外部のWEBサーバに接続した時にその外部のWEBサーバから帰ってくるパケットを許可する設定です。
これがなければ自分のサーバ上でWEBブラウジングが出来なくなります。

「自分のサーバマシンでは一切WEBサイトを見ない」と言うのであれば、--sportの記述は要らない様です。


postfixでSMTP-AUTHを実現させたい時に不安があるのなら、
ソースからコンパイルして最新版をインストールする事をお勧めします。
その場合、RPMパッケージではありませんので、apt-getは使えなくなりますが、それが一番確実です。
RPM版の場合は、極力最新版を使う事をお勧めします。
SMTP-AUTHを組み込む場合、バージョンによってはインストールできない事がありますので、事前によくよくお調べになってからが良いかと思います。

タイトル: Re: iptableのsportとdportについて
記事No: 1668
投稿日: 2004/03/18(Thu) 09:46
投稿者: ナルダ
こんにちは、ご丁寧な対応と
ご質問に対する回答をありがとうございます。

Postfixにつきましては、
私がまだLinux初心者と言うことと、
このサイトを参考に構築したPostfixの設定で、
とりあえず十分満足しているので
『Postfix+SMTP-AUTH』については
先の課題ということで見送りたいと思います。

iptableについても、言われてみて納得です。
ですがチョッと甘い設定のようですね。
いい機会だと思いますので、他の方の設定を真似するだけでなく
自分でももう少し勉強してみたいと思います。
ありがとうございました。



> > まず、iptableの設定について
> > 例えば、80番のポート空ける場合に
> > sportとdportを両方許可する必要があるでしょうか?
> > 素人考えでは、dportさえ許可すればいいような気がするのですが。。
> > sportとdportの両方をあける例が多いようです。
>
> ざっくり調べてみました。
>
> # iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> # iptables -A INPUT -p tcp --sport 80 -j ACCEPT
>
> 上記のルールの場合、
> --dportは、そのホスト(自分のWEBサーバ)に対する80番ポートへの接続を許可しています。
> これがなければ、外部からの自分のサーバの80番ポートへのパケットがサーバに届きません。
> (たとえWEBサーバが起動していても届きません。)
>
> 次に、--sportについて。
> これは自分のWEBサーバの動作とは関係なく、そのホスト(自分のサーバの事です)が外部のWEBサーバに接続した時にその外部のWEBサーバから帰ってくるパケットを許可する設定です。
> これがなければ自分のサーバ上でWEBブラウジングが出来なくなります。
>
> 「自分のサーバマシンでは一切WEBサイトを見ない」と言うのであれば、--sportの記述は要らない様です。
>
>
> postfixでSMTP-AUTHを実現させたい時に不安があるのなら、
> ソースからコンパイルして最新版をインストールする事をお勧めします。
> その場合、RPMパッケージではありませんので、apt-getは使えなくなりますが、それが一番確実です。
> RPM版の場合は、極力最新版を使う事をお勧めします。
> SMTP-AUTHを組み込む場合、バージョンによってはインストールできない事がありますので、事前によくよくお調べになってからが良いかと思います。

▲ページの最上部に戻る

Copyright© Home Server Technical. All Right Reserved.
webmaster@miloweb.net