- PR -

ひとつのサーバでのOpenVPN+Apache使用時のファイアウォール

1|2 次のページへ»
投稿者投稿内容
number14
会議室デビュー日: 2007/11/09
投稿数: 6
投稿日時: 2007-11-09 09:50
OpenVPNサーバ(rl0,tap0)--------ルータ----プロバイダA,B----クライアント
PC1-------------------------------|
NASファイルサーバ---------------|
ルータはAterm WR7600H
ルータアドレス192.168.5.1

LAN内にあるサーバ FreeBSD6.2 OpenVPN+Apache2.2
クライアントとOpenVPNをブリッジ接続

OpenVPNサーバでifconfig すると
rl0 192.168.5.3
bridge0 192.168.5.3 member=rl0 member=tap0
tap0 (ipは割り振られていない)

こういった環境下でipfを有効にしてみました
ipf.rulesを見てみると
bridge0に対する記述はありますがrl0に対する記述がありません
さらにipfを何も設定せずLAN内のPC1からWebサーバにアクセスすると
アクセスできてしまいました
ファイアウォールがきいているはずで、アクセスできないのが
正しい挙動だと思っていたのでまずいのではないかと思っております
また、ipfを設定するにはbridge0にもrl0にも設定するのでしょうか?
アドバイスをいただけたらと思います

[ メッセージ編集済み 編集者: number14 編集日時 2007-11-09 11:50 ]

[ メッセージ編集済み 編集者: number14 編集日時 2007-11-09 11:52 ]
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-11-09 10:19
回答しようとする方に判り易く書きなおした方が宜しいかと思います。
# はっきり書くと状況が全く判りません。

>ルータは市販
>OpenVPNはブリッジ接続
>ファイアウォールがきいているはずで、

この辺りなど全くもって「何のことやら?」です。
可能ならネットワーク図を付けて頂くと幸いです。
number14
会議室デビュー日: 2007/11/09
投稿数: 6
投稿日時: 2007-11-09 11:30
質問者です
申し訳ありませんでした
OpenVPNサーバ(rl0,tap0)--------ルータ----プロバイダA,B----クライアント
PC1-------------------------------|
NASファイルサーバ---------------|

ブリッジを選んだ理由は、外からNASへのアクセスをするためです
ルータはAterm WR7600H
ルータの設定↓
192.168.5.1 255.255.255.0
ポートマッピング 1194 udp
静的ルーティング 送信元192.168.5.3(サーバのアドレス)
PPPoEマルチセッションを使用しているため静的ルーティングを使用
サーバ専用固定IP プロバイダA
その他 動的IP プロバイダB

OpenVPNサーバ
192.168.5.3 255.255.255.0

よろしくお願いいたします


BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-11-09 12:44
引用:

number14さんの書き込み (2007-11-09 11:30) より:

コード:



             192.168.5.1/24  固定グローバルIP

OpenVPNサーバ(rl0,tap0)-----------Aterm WR7600H----プロバイダA,B----クライアント

          192.168.5.3/24(固定IP)         |

NASファイルサーバ------------------------|

          192.168.5.2/24(固定IP)         |

PC1--------------------------------------|

          192.168.5.*/24(DHCPクライアント:想像)



注)OpenVPN用のWR7600H設定

  UDP1194を192.168.5.3へ固定転送

こういうことですね。

引用:
number14さんの書き込み (2007-11-09 09:50) より:

こういった環境下でipfを有効にしてみました
ipf.rulesを見てみると
bridge0に対する記述はありますがrl0に対する記述がありません
さらにipfを何も設定せずLAN内のPC1からWebサーバにアクセスすると
アクセスできてしまいました
ファイアウォールがきいているはずで、アクセスできないのが
正しい挙動だと思っていたのでまずいのではないかと思っております
また、ipfを設定するにはbridge0にもrl0にも設定するのでしょうか?

OpenVPNは実際に使用したことはありませんが、何となく仕様を
都合よく解釈されていませんか?
http://freescitech.net/2/ovpn2_howto_ja.html#vpntype

インターネット上からもアクセス可能にする状況下でブリッジ設定など
もってのほかだと思います。
「外からNASへのアクセス」など可能にすべきではありません。
外部から参照可能にするのはOpenVPNサーバだけとし、参照必要な情報は
そこだけに置くべきだと思います。
# 余計なお世話かも知れませんが、PKIも確実に行なっておかないと
# 痛い目に遭う危険性は高いと思いますよ。
http://freescitech.net/2/ovpn2_howto_ja.html#pki

蛇足ですが、指摘があってもこのスレッドの最初の質問投稿は直す必要は
ありません。
直さない方が後から見た方には全体の流れが理解しやすいと思います。


[ メッセージ編集済み 編集者: BackDoor 編集日時 2007-11-09 12:45 ]
number14
会議室デビュー日: 2007/11/09
投稿数: 6
投稿日時: 2007-11-09 14:07
引用:

インターネット上からもアクセス可能にする状況下でブリッジ設定など
もってのほかだと思います。
「外からNASへのアクセス」など可能にすべきではありません。
外部から参照可能にするのはOpenVPNサーバだけとし、参照必要な情報は
そこだけに置くべきだと思います。


返信ありがとうございます
NASを外部へ公開したくないためにOpenVPNを選んだのですが
考え方を間違えているのでしょうか?
仮想LANが築けるからOpenVPNを使ってみようと思いました

PKIはなんとか大丈夫だと思います
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-11-09 15:21
???

引用:
number14さんの書き込み (2007-11-09 11:30) より:

ブリッジを選んだ理由は、外からNASへのアクセスをするためです

引用:
number14さんの書き込み (2007-11-09 14:07) より:

NASを外部へ公開したくないためにOpenVPNを選んだのですが
考え方を間違えているのでしょうか?

本当はどっちなのですか?
number14
会議室デビュー日: 2007/11/09
投稿数: 6
投稿日時: 2007-11-09 15:34
NASを外部へ公開するということは
ftpなどを使い、外部からNASへ通信するという認識です
ftpなどを使いたくないため、安全に外部からNASファイルサーバへ
アクセスしたいために、OpenVPNを選びました
OpenVPNネットワークを築けば、仮想LAN環境になります
外部へ公開しているのではなく仮想LAN内でのファイル共有を目的としております
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-11-09 15:48
そういう意味なら納得です。

引用:
number14さんの書き込み (2007-11-09 15:34) より:

外部へ公開しているのではなく仮想LAN内でのファイル共有を目的としております

OpenVPNサーバの設定をルーティングVPNにしてサーバとクライアントの設定ファイル
を作成すれば大丈夫でしょう。
http://freescitech.net/2/ovpn2_howto_ja.html#config
接続するクライアントに配布するバーチャルなアドレスを192.168.5.0/24に読み替え
れば良いと思います。

編集:以下を追記

ところでファイアウォール部分が展開からすっかり抜けてましたがこれは何処の
部分の話ですか?
Aterm WR7600Hの部分の場合、UDP1194以外の余計なポートを開かなければ大丈夫
ですが、OpenVPNサーバに独自のそれが入っている場合の話でしょうか?

[ メッセージ編集済み 編集者: BackDoor 編集日時 2007-11-09 15:59 ]
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)