投稿日:2007年02月16日 作成鷹の巣

No.21327 2台目サーバ



2台目サーバ

No.21327 投稿時間:2007年02月16日(Fri) 10:53 投稿者名:gin URL:

はじめまして。

現在WEBサーバを運用しているのですが、追加でもう1台WEBを公開しようと思っています。
その場合のポートマッピング設定について質問があります。

・1台目サーバ
 http://ホスト名/  ⇒ ポート80
 https://ホスト名/  ⇒ ポート443
・2台目サーバ
 http://ホスト名:8080/  ⇒ ポート8080
 https://ホスト名:xxxx/  ⇒ ポートxxxx

上記で、2台目へのSSLアクセスに使用するポート番号は何でも良いのでしょうか?
(当然、WELL KNOWNポート番号などは除く)
また、当方LinuxでWEBサーバはApacheなのですが2台目の、configの設定でポート番号の部分は
どう記述すれば良いのでしょうか。

何かヒントでも頂ければ幸いです。


Re: 2台目サーバ

No.21330 投稿時間:2007年02月17日(Sat) 23:27 投稿者名:わらび URL:

>2台目へのSSLアクセスに使用するポート番号は何でも良いのでしょうか?
何でもいいですよ。2台目を8080と決めたのと同じです。
でも、そのポートを知っている人しかアクセスできないですけど。

用途がわからないんですけど、
サーバが2台あり、それぞれ別サイトであるならば
Apacheでバーチャルホストにし、
vrrpとか使って冗長構成とかいいんじゃないかなと
思いますけど。


Re^2: 2台目サーバ

No.21331 投稿時間:2007年02月19日(Mon) 12:01 投稿者名:gin URL:

わらびさん

ありがとうございます。

> >2台目へのSSLアクセスに使用するポート番号は何でも良いのでしょうか?
> 何でもいいですよ。2台目を8080と決めたのと同じです。
> でも、そのポートを知っている人しかアクセスできないですけど。

なるほど。番号はなんでもいいのですね。




> 用途がわからないんですけど、
> サーバが2台あり、それぞれ別サイトであるならば
> Apacheでバーチャルホストにし、
> vrrpとか使って冗長構成とかいいんじゃないかなと
> 思いますけど。

すみません、VRRPをよく理解してないのですが
ルータを複数台持ち合わせてないので実現できないと思っているのですが
間違いでしょうか。


Re^3: 2台目サーバ

No.21334 投稿時間:2007年02月19日(Mon) 16:47 投稿者名:LR URL:

私も同じような事をしていますね。
ルータで2台のサーバー運営しています。
バーチャルホスト使わなくてもいけます。物理的に2台マシンがあれば。
こういう事をしている人は、意外と少ないと思いますが・・・

一つ目は、ポート80使用   192.168.0.2
二つ目は、ポート8080使用 192.168.0.3
2台あるので、FTPサーバーなども、8020・8021とかを使用しています。
サーバー側FTPソフトは、vsftpdです。
vsftpdで8080ポート使うときは、設定ファイルをいじらないとだめですが。
クライアントから接続するときは、FFFTP使用。

ルータのNATの設定でできるはずです。
8080→192.168.0.3という風に。

8080の方にアクセスするときは、たしかに直接アドレスを打たないとだめですが、
HTMLなどのフレームをうまく使えば、アドレスを隠す事もできるはずです。


Re^4: 2台目サーバ

No.21336 投稿時間:2007年02月19日(Mon) 16:53 投稿者名:gin URL:

LRさん

ありがとうございます。


> 一つ目は、ポート80使用   192.168.0.2
> 二つ目は、ポート8080使用 192.168.0.3
> 2台あるので、FTPサーバーなども、8020・8021とかを使用しています。
> サーバー側FTPソフトは、vsftpdです。
> vsftpdで8080ポート使うときは、設定ファイルをいじらないとだめですが。
> クライアントから接続するときは、FFFTP使用。

FTPの問題もありましたね。
同じく8020,8021などを考えようと思いますが
PASVの場合はどうすべきでしょう。


> ルータのNATの設定でできるはずです。
> 8080→192.168.0.3という風に。

そうですね。これが当初から検討している最も簡単な方法です。


> 8080の方にアクセスするときは、たしかに直接アドレスを打たないとだめですが、
> HTMLなどのフレームをうまく使えば、アドレスを隠す事もできるはずです。

なるほど。普通のHTMLなら確かにフレームで一見そのように隠せそうですね。
私の場合はPHPモジュールで動かしている動的なページのためどうなるかはわかりませんが・・・。


Re^5: 2台目サーバ

No.21337 投稿時間:2007年02月19日(Mon) 17:13 投稿者名:LR URL:

FTPはこの情報を見てください。

###########################################################################################
vsftpdで違う事をしようとしたら、けっこう難しい?って聞いたことがあります。
こんな情報見たことありますが、何か役にたたないかな?

#情報
vsftpdでポート番号を変更する
こんなに苦労すると思わなかった
[Linux]

FTPサーバのポート番号を8021,8020に、PASSIVEで使いたい。
vsftpd.confにおいて

connect_from_port_20=NO
pasv_enable=YES
pasv_address=***.***.***.***
listen_port=8021
pasv_min_port=8020
pasv_max_port=8020

port番号がもっと空けれる人はmin_port,max_portの数値差をつけてやればよろしい。
最初、listen_port=8021(control)さえ設定してやればdataは-1で自動設定してくれるだろう、
とどっかのサイトの言葉を鵜呑みにしてしまったのではまった。
私がうまく行ったのは上記パターンでした。
ルータが噛んでると(最近は噛んでるほうが一般的だと思うが)pasv_addressがキーになるかもしれない。
私の場合グローバル固定IPを設定したが、ダイナミックDNSでやってる人はどう設定するのだろう?
LAN内部からのFTPもどうするんだ?

ということで、vsftpdはちょっと違うことやるときは苦労する、というお話でした。
###########################################################################################

私の場合、固定IPだったので無事にできましたが、動的のIPの人はどうするでしょう?(笑)
この情報みつけるまで、vsftpd で相当はまりました。
アドレスの隠し方のページを、見たことがあったのですが見つけたらここへ書き込みます。


FTPは、デフォルトのポートから変更するといろいろ弊害がでます。

No.21343 投稿時間:2007年02月19日(Mon) 22:38 投稿者名:おやじ URL:

> FTPはこの情報を見てください。
>
> ###########################################################################################
> vsftpdで違う事をしようとしたら、けっこう難しい?って聞いたことがあります。
> こんな情報見たことありますが、何か役にたたないかな?
>
> #情報
> vsftpdでポート番号を変更する
> こんなに苦労すると思わなかった
> [Linux]
>
> FTPサーバのポート番号を8021,8020に、PASSIVEで使いたい。
> vsftpd.confにおいて
>
> connect_from_port_20=NO
> pasv_enable=YES
> pasv_address=***.***.***.***
> listen_port=8021
> pasv_min_port=8020
> pasv_max_port=8020
>
> port番号がもっと空けれる人はmin_port,max_portの数値差をつけてやればよろしい。
> 最初、listen_port=8021(control)さえ設定してやればdataは-1で自動設定してくれるだろう、
> とどっかのサイトの言葉を鵜呑みにしてしまったのではまった。
> 私がうまく行ったのは上記パターンでした。
> ルータが噛んでると(最近は噛んでるほうが一般的だと思うが)pasv_addressがキーになるかもしれない。
> 私の場合グローバル固定IPを設定したが、ダイナミックDNSでやってる人はどう設定するのだろう?
> LAN内部からのFTPもどうするんだ?
>
> ということで、vsftpdはちょっと違うことやるときは苦労する、というお話でした。
> ###########################################################################################
>
> 私の場合、固定IPだったので無事にできましたが、動的のIPの人はどうするでしょう?(笑)
> この情報みつけるまで、vsftpd で相当はまりました。

FTPは、デフォルトのポート(制御:21、Activeモードのデータコネクション:20)から変更するといろいろ弊害がでます。特に、Activeモードはクライアント側のBBRがFTP通信を意識できなくなってしまうので、データコネクションがつながらず使用できません。従って、PASVモードでしか使えません。
動的IPでもチョット対策すれば何も問題なく使えます。vsftpdのバージョン2.0.4以降なら、pasv_addressにDDNSのサーバ名(ルータのWAN側のグローバルIPが牽けるホスト名を入れること。hostsなどを書いているときは、要注意)を入れて、inetモード(xinetd)で動作させれば、接続の度にDNSを検索して対応するので動的IPでも何も問題なく使えます。但し、セッション開設毎にDNSを牽くので、超ヘビーなFTPサイトでは、少し気になるかも・・。


Re: FTPは、デフォルトのポートから変更するといろいろ弊害がでます。

No.21345 投稿時間:2007年02月20日(Tue) 10:10 投稿者名:わらび URL:

今じゃ、ほとんどのルータがFTPに対応しているのでは無いでしょうか?
試しに、どっかのFTPサーバにPORT(Active)/Passiveで接続すれば
わかると思いますが。

対応していれば、少なくてもデータコネクションだけ
ルータでNATしてやれば、使用できると思います。たぶん。


Activeモードではデフォルトのポートから変更すると通信できません。

No.21348 投稿時間:2007年02月20日(Tue) 19:41 投稿者名:おやじ URL:

> 今じゃ、ほとんどのルータがFTPに対応しているのでは無いでしょうか?

これはサーバ側のPASVモードのことではないですか?

> 試しに、どっかのFTPサーバにPORT(Active)/Passiveで接続すれば
> わかると思いますが。
>
> 対応していれば、少なくてもデータコネクションだけ
> ルータでNATしてやれば、使用できると思います。たぶん。

 以下は、ルータ配下にサーバ・クライアントがいる前提ですが、制御コネクションのポート番号を変えた場合、Activeモードでは、クライアント側のルータでそのポートがFTPの制御コネクションのポートであることを設定できるもの以外では論理的にうまく通信できません。
 何故なら、Activeモードの通信は、クライアントが送信するPORTコマンドの中でクライアント側が待ち受けているIPアドレス(当然サーバのアドレスなのでプライベート)とポート番号をサーバに通知しており、それを受けたサーバ側が20番ポート(RFC959 3.2. ESTABLISHING DATA CONNECTIONS 上では、「The server-process default
data port is the port adjacent to the control connection port(i.e., L-1).」となっているので通常のデータコネクションは20番。制御コネクションが8021なら 8021 - 1 = 8020は妥当な考え方)をソースとして接続してくることでデータコネクションが繋がります。従って、プラベートネットワーク内ならこれでも問題ないですが、ここにNATルータが介在するとそうは行きません。
 何も意識しないで使っているのでわからないのかもしれませんが、実はルータが勝手にいろいろやってくれているから通信できるようになっているからです。
 その内容はというと、クライアント側に入っているNATルータでは、外部の21番ポートへの通信をモニタ(これが重要。ポートを変えたらルータはその通信がFTPとは認識できないので、うまくいくわけがない。)していて、portコマンドの中のサーバのプライベートアドレスを自分(ルータ)のWAN側のグローバルアドレスに書き換えてサーバに投げることによって、サーバはクライアントのアドレスを正しく知ることができるようするというものです。同時に、ルータは制御コネクションと同一IPからの「制御コネクションポート番号 - 1 (通常は20)」をソースポートとするデータコネクションがくると、ペア通信であることを意識して要求元のクライアントへ接続しているので、クライアント側にNATルータが入っていても通信ができているのです。


Re^3: 2台目サーバ

No.21346 投稿時間:2007年02月20日(Tue) 10:36 投稿者名:わらび URL:

> なるほど。番号はなんでもいいのですね。
何番でもいいですけど、特定に対するサーバになってしまいます。

2台目のWEBを8080に変えて使用すると、8080がWEBと知っている人しか
使えなくなってしまいます。意図してやるなら話は別ですが。

> すみません、VRRPをよく理解してないのですが
> ルータを複数台持ち合わせてないので実現できないと思っているのですが
> 間違いでしょうか。
ルータじゃなくてもOKです。
もっているlinuxサーバ2台をルータに見立てればいいのです。

せっかく2台あるので、
VRRPで冗長と、LVSで負荷分散とかやってたら
おもしろいんじゃないかなーと思っただけです。

この記事が参考になります。
ロードバランスとVRRPがあります。
http://dsas.blog.klab.org/archives/50675098.html

VRRPだけやるなら、vrrpdがいいかな・・。
http://www.kawaz.jp/pukiwiki/?VRRP%A4%C7%A5%EB%A1%BC%A5%BF%A4%CE%BE%E9%C4%B9%B2%BD
とか
http://jo1upk.blogdns.net/linux/index.php?Linux%2FVRRP
かな?あんまり情報ないや。


目次掲示板過去ログ目次▲頁先頭