Webサーバ

自宅Webサーバ(html文書)を公開するためにはどういった手順が必要でしょうか？

具体的に知りたい内容は、
・ISPは@niftyですが可能なんでしょうか？
・グローバルＩＰアドレスは申請するだけで誰でも簡単に取得できるものなんでしょうか？
・ルータは特別に用意する必要があるのでしょうか？
　現在使用しているレンタルモデムでもかまわないのでしょうか？
・通常WebサーバはNATを設定されたルータにつながっているということですが、
　そうすると回線をもうひとつ繋がなくてはならないのでしょうか？
・NAPTならばひとつのＩＰアドレスに複数台のＰＣをつないでインター　ネットと通信できるということですが、
　その場合、Webサーバと同じセグメントにつながれた公開したくないＰＣに危険はないのでしょうか？

以上よろしくお願いします。

No.6 ベストアンサー 回答者： NINJA104 回答日時： 2007/02/01 00:23

#4です。

＞ＮＡＴで設定を行っても複数ＰＣ（インターネット等、普段使用しているクライアントと今回公開予定のWebサーバ）を繋ぐことは可能なのでしょうか？

ココでは図が書けないので簡単に説明します。
例えば私の自宅環境では以下の機器が総てLANで繋がり、一台のスイッチングハブで集約しています。

１．ADSLルータモデム
==================== ← 境界線（ここから上はWANの世界。下はLANの世界）
２．スイッチングハブ
３．ＰＣ１
４．ＰＣ２
５．ＰＣ３
６．公開WEBサーバ
７．LAN対応プリンタ

３～７は内側（LAN）の世界ですから、相互に接続可能です。
また１を通して外側（WAN／インターネット）へ問題無く接続出来ます。

３～５のＰＣ３台は、１のDHCPサーバ機能を利用してIPの自動割当を行っていますが、６と７は固定IPを割り当てています。


@niftyのDynamicDNSサービスについては、以下をご参考ください。
http://www.nifty.com/ddns/index.htm
"DiCE"というDDNSツールを使いDynamicDNSとIPの自動同期を取る。
http://www.hi-ho.ne.jp/yoshihiro_e/dice/index.html
もし公開するサーバがLinuxの場合は、
http://physics.atnifty.com/server/dice_for_linux …

この回答へのお礼

回答ありがとうございます。
返信が遅くなり申し訳ありません。

なるほど、NATを使用しても、複数ＰＣをインターネットと繋ぐことは可能なんですね。
そうするとNAPTの必要性はどこにあるのでしょうか？

ＬＡＮポートの口(ローカルエリア側)が複数あるルータにはNAPTを使用するということでしょうか？

お礼日時：2007/02/02 23:15

No.8 回答者： o_tooru 回答日時： 2007/02/03 08:55

> 外部からのアクセスはルータの設定でWebサーバにいくようになって

> いるというような意味でしょうか？
そうです。私の場合は、現在Web鯖以外は考えていないので、外部から80番ポートにアクセスがあった場合は、192.168.*.XのApacheが動いている鯖に行くようにしています。


> そうですね、サーバが乗っ取られるとすれば、rootユーザのパスワードがばれて
> telnet等で操作されるときでしょうか？
ここいらへんの手法が私もよく分かりません。相手がどの様な手段で入ってくるのかが分かりません。そのために私としてはWebサービスしか公開する気がないのですが。Webサービスにおいても、入り込む手法があるようで、それなりに注意しなくてはならないようですが。

> 一応公開するための領域はパーティションを分けて作ってあり、telnet等
> も使えない設定にしてありますが、
telnet使えないと不便じゃありません？私の所では、SSH1を使ってtelnetで入っています。ローカル側からだけですけど。



> 他に気をつけること等あるでしょうか？
私も分からないので、サービス等は極力落としてしまい、必要なものしか動いていないようにしています。後はchkrootkitというアプリがありますので、それを入れてうごかしています。rootkit仕込まれたら終わりですので。

あと、ルーターの設定をいじる必要が出てくるのかな？
ルーターのマニュアルも読む必要がありますよね。あたりまえですが、ルーターこそ乗っ取られたら終わりですから。これも適切な設定にする必要があります。

・・・・って、パスワードを類推されにくいものにしているだけですけど。ｗ

この回答へのお礼

回答ありがとうございます。

>>telnet使えないと不便じゃありません？
私はサーバＰＣとクライアントＰＣが隣同士に置いてあるので、
ＰＣ切り替え器を使ってディスプレイ、マウス、キーボードを共有しています。
なので特にtelnetは使用しないといった感じです。

>>後はchkrootkitというアプリがありますので、それを入れてうごかしています。
>>rootkit仕込まれたら終わりですので。
rootkit‥、全然知りませんでした。ありがとうございます。

やはりWebサーバは他のサービスを使用せず、Webサーバ専用として動かすのが
セキュリティとしては一番いいんですかね？
まぁ、壊れてもいいような古いＰＣに入れているのでよっぽどひどいことにはならないと思いますが‥。

お礼日時：2007/02/04 04:39

No.7 回答者： o_tooru 回答日時： 2007/02/01 00:24

こんばんは、疑問はつきませんね。

さてご質問の件ですが、私もniftyを使っています。

鯖を公開するには色々な方法があるかと思います。私の場合は、ルーターの機能としてついてきた、DDNSを使っています。ショボイドメインになってしまいますが、無料ですので。

このドメインに対して外部からアクセスが来たときは、ルーターの設定で、NATの内部のPCに対してフォワードを掛けています。

それ以外は、まったく一般的なLANですので、LANの内部には鯖とは別に複数のネットワーク機器が存在します。

鯖と他のネットワーク機器とは同じセグメントの中に存在しますので、まったく危険がないかといえば、有ると思います。鯖が乗っ取られてしまえば、同一セグメントにある機器は危険にさらされます。

この回答へのお礼

回答ありがとうございます。
返信が遅くなり申し訳ありません。

#6の方と同じような運用をしていらっしゃるということですよね？
フォワードという言葉が聞き慣れませんが、
外部からのアクセスはルータの設定でWebサーバにいくようになっているというような意味でしょうか？

>>鯖が乗っ取られてしまえば、同一セグメントにある機器は危険にさらされます。

そうですね、サーバが乗っ取られるとすれば、rootユーザのパスワードがばれて
telnet等で操作されるときでしょうか？
一応公開するための領域はパーティションを分けて作ってあり、telnet等も使えない設定にしてありますが、
他に気をつけること等あるでしょうか？
もちろん、各種インジェクション等気をつけることはたくさんあると思いますが、
初心者がよくやるミス等ありましたら、ご教授くださいm(__)m

お礼日時：2007/02/02 23:24

No.5 回答者： mac_res 回答日時： 2007/01/31 23:44

No.3です。

>>このISPは別に契約をしなくてもグローバル固定IPを1個基本料金に含んでいます。

>これは@niftyと重複して申し込めるという理解でよいのでしょうか？

いいえ、@niftyからASAHI-NETに乗り換えると言うことです。
@niftyのインターネット接続以外の機能を利用している場合は、オープンコースに申し込んで、ASAHI-NET経由で@niftyに接続します。
http://www.nifty.com/support/member/open.htm

この回答へのお礼

回答ありがとうございます。
返信が遅くなり申し訳ありません。

ISPを変えるということですか。
ASAHI-NETは固定IPでもらえるということなんですね。
ISPを変えるとインターネットにつながるまでまた長い時間待たされるので、
他の方のおっしゃる@niftyの方法でやろうと考えています。
しかし私は各ISPの運用自体よく知らないので、他のISPと比べてみて勉強にはなりました。
ありがとうございました。

お礼日時：2007/02/02 23:07

No.4 回答者： NINJA104 回答日時： 2007/01/31 15:50

＠niftyはDynamicDNSを付加サービス（有料）として提供しています。

例えば http://(なんちゃら).atnifty.com/ というドメインで運用しているサイトはこのサービスを利用しています。

ちなみに私も運用しています。コース：@nifty＋ADSL(ACCA)

レンタルモデムがルータ機能を備えているものであれば、静的NATでポート解放と転送（ポートフォワーディング）設定を行なえば良いでしょう。
その際に注意する事は、公開するＰＣはDHCPによるＩＰ割り当てを行わず、予め固定で割り当ててておく事が重要です。

この回答へのお礼

回答ありがとうございます。

ここで質問させていただいて、私もその方法で行おうかと考えています。
ＮＡＴで設定を行っても複数ＰＣ（インターネット等、普段使用しているクライアントと今回公開予定のWebサーバ）を
繋ぐことは可能なのでしょうか？

お礼日時：2007/01/31 22:25

No.3 回答者： mac_res 回答日時： 2007/01/31 08:18

ASAHI-NETで、自宅WEB Serverを運用しています。

このISPは別に契約をしなくてもグローバル固定IPを1個基本料金に含んでいます。

ルーターは回線がB-Flet'sなので、NTT東日本からレンタルされたRT-200NEを使っています。

回線は1本で、NAPT機能でPORT 80をWeb Serverに飛ばしています。DNS, Mailも同様にNAPTで飛ばしています。

Serverがとまると、DNSも自前なので、Mailがhost unknownで帰ってしまう危険があるため、DNSは友人と、お互いにセカンダリーサーバーになっています。

この回答へのお礼

回答ありがとうございます。

>>このISPは別に契約をしなくてもグローバル固定IPを1個基本料金に含んでいます。

これは@niftyと重複して申し込めるという理解でよいのでしょうか？
そうすると、レンタルモデムのＤＨＣＰ機能を止め、ルータにつないで
自宅内でASAHI-NETからのＩＰと@niftyからのＩＰを
ルーティングするような運用をするという理解でよいのでしょうか？

勉強不足で申し訳ありませんが、よろしくお願いします

お礼日時：2007/01/31 22:20

No.2 回答者： don_go 回答日時： 2007/01/30 23:30

@niftyなら、アット・ホームページを利用した方が良いのでは？

機器や回線・セキュリティ管理等に苦しむ必要が有りません。

http://homepage.nifty.com/

この回答へのお礼

これは@niftyのサーバ上に自分のWebページをつくる感じでしょうか？
サーバマシン自体は自己で保有しているため、
勉強のためにやってみようと考えています。

回答ありがとうございました。

お礼日時：2007/01/31 22:11

No.1 回答者： shogo0809 回答日時： 2007/01/30 22:49

> ISPは@niftyですが可能なんでしょうか？

@niftyなら可能だったと記憶しています。
ISPの規約を読み、禁止されていなければOKです。念のためご自分で確認されることをオススメします。

> グローバルIPアドレスは申請するだけで誰でも簡単に取得できるものなんでしょうか？
グローバルIPはCATV等でない限りネットに繋がっている以上誰もが取得しています :-)
……と揚げ足をとってすいません。「固定IP」という意味でしたら、ご契約中のISPに申し込むことで取得することが出来ます。
@niftyでしたらこちら。
http://www.nifty.com/staticip/

> ルータは特別に用意する必要があるのでしょうか？
WEBを公開することで以前より攻撃されやすくなることは容易に予想できますよね？
その攻撃をルーターによってある程度防ぎたいならばそういった製品の購入を考えてみては。
単に「WEBを公開する」だけでしたらモデムでも可能です。Air Edgeでもできますよ。

> 通常WebサーバはNATを設定されたルータにつながっているということですが、そうすると回線をもうひとつ繋がなくてはならないのでしょうか？
上記の通り、特別に回線を引く必要はありません。

> NAPTならばひとつのIPアドレスに複数台のPCをつないでインターネットと通信できるということですが、その場合、Webサーバと同じセグメントにつながれた公開したくないPCに危険はないのでしょうか？
Webサーバーを公開することでそのIPに対する攻撃の頻度は上がりますが、
「別PC」へのポート転送を設定しなければよいだけだと思います。

……が、たとえWEBを公開せずに、様々な対策を施した上でどんなに手を尽くしても危険が「ない」なんてことはありえません。

ちなみに、ご存じかもしれませんが固定IPを取らなくてもDDNS使えばWEBは公開できます。
また、特に理由がなければ別途レンタルサーバー等を借りることをオススメします。
一番、セキュリティ的にも安全です。

この回答へのお礼

ひとつひとつ丁寧に回答していただきありがとうございました。

おかげさまでどうにかなりそうな感じです。
DDNSというものも微塵も知りませんでした（＾＾；
ありがとうございました。

お礼日時：2007/01/31 22:08