自宅サーバーとクライアント間のセキュリティの確認

勉強と実用を目指してCentOS6.4の自宅サーバーを起動させています。
クライアントはwindows7でSSHでのサーバーの操作、
ネットや通販したりしています。

サーバーとクライアントは同一の回線ですが、
セキュリティ的にセグメント分けをした方が良いとの事なので、
下記のように分けています。

192.168.0.0/24
自宅サーバー　←─┬有線→ ルーターA ←インターネット→
　　　　　　　　　　　　 │
PC←→ルーターB←┘
192.168.1.0/24

サーバーが乗っ取られたとして、クライアント側のセグメントに
アクセスされるのかどうか確認する方法が知りたいです。

また、クライアントからSSHで操作は行いたいですが、
サーバーからクライアントのアクセスは禁止したいです。

よろしくお願いいたします。

No.1 ベストアンサー 回答者： Wr5 回答日時： 2013/08/28 01:39

ルーターBでWAN側から(ソースアドレス192.168.0.0/24)からのアクセス(接続要求)を弾くように設定すればよいかと。

UDPの場合はまた別に設定が必要かも知れませんが…。
TCPなら接続要求だけ弾けば十分かと。
ちなみに、この場合FTPのアクティブモードは使えなくなるかと。
まぁどっちにしろルータB次第でFTPは使えなくなる可能性があるので…。

>クライアント側のセグメントに
>アクセスされるのかどうか確認する方法が知りたいです。

上記の設定をした上でサーバからクライアントのIPアドレスに対してnmapでスキャンしてみる…とかでしょうかね。

ルータBでダメだったらサーバのiptablesで…ということになるかも知れませんが……。
これはクラックされた場合には無効にされるかも知れませんからなんとも…。

この回答へのお礼

回答ありがとうございます。
ルーターBで192.168.0.0/24の接続要求をはじけばよいのですか。調べてみようと思います。
FTPが使えないとなるとSCPも駄目だったりするのでしょうか。それだと少し面倒かもですね。

サーバーからクライアントのIPでnmapしてみましたが、Host seems down.と表示されます。

確かにiptablesを変更しても乗っ取られたらあまり意味なさそうではありますね。
もう少し調べてみようと思います。

お礼日時：2013/08/28 22:39