自宅Windowsサーバを公開した際の作業まとめ

仕事では何百台もサーバを立ててきましたが、自宅からの公開は初めてだったので備忘録として。


0.前提条件
 自宅のインターネット接続環境が「グローバルIPアドレスの割り当てがある」タイプであること。
 動作確認はスマホのSIM経由で。


1.サーバを用意する
 今回は既存のサーバを利用。
 Windows Home Server 2011(Windows Server 2008 R2 相当) sp1
 管理用のWebサイトが起動しているので停止してサイトを新規作成。
 FTPも欲しかったので追加、SSL必要にして、匿名アクセスは禁止。
 各種権限、セキュリティ設定を諸々調整。


2.外部からアクセス可能にする

(1)ルータでWeb/FTPを通すように設定
 設定は機種によるが自宅のBUFFALOの無線ルータでは「ポート変換」のところで設定。
 ”外部IP宛に来たアクセスをサーバのローカルIPに変換”
 するための設定を入れる。
 本来は(IPと)ポート番号を変える機能だがポート番号はそのままIPだけ変えれば良い。
  Webは 80
  FTPは 20,21 と PASVモードで使わせたいポート範囲 を通すように設定。

(2)IIS側でファイアウォール経由でFTP利用できるように設定
 IIS管理画面の「FTPファイアウォールのサポート」で
 「データチャネルのポート範囲」と「外部IPアドレス」を設定。
  ここでIISが言っている「ファイアウォール」とは自宅とインターネットの境界にあるルータ上の機能のこと。
  データチャネルのポート範囲には(1)で許可したPASVで使わせるポート範囲を設定。
  外部IPアドレスはグローバルIPアドレスを設定。
【注意】
・この設定はIIS再起動では反映されず、FTPサービスの再起動が必要なので注意。
・割り当てられたグローバルIPアドレスが変更になった場合は都度変更が必要。

(3)サーバ側でFireWallを有効にしてる場合は通過できるように設定
 ここでFireWallと言っているのはWindows上の機能のこと。
 以下の2つのコマンドを実行。
netsh advfirewall firewall add rule name=”FTP Service” action=allow service=ftpsvc protocol=TCP dir=in
(FTP がリッスンしているポートに対する着信の FTP 接続のみを許可するように着信のファイアウォール規則を構成する)
netsh advfirewall set global StatefulFTP disable
(ファイアウォールが任意の FTP トラフィックをブロックしないように、ステートフル FTP のフィルターを無効に)
 Webだけ公開する場合や、FireWallが無効になっている環境では作業不要。
 また、FireWallが無効でも、他セキュリティ対策ソフトによる同様の機能があれば別途対策が必要。


3.名前を付ける
 IPで使うのは面倒なので適当な名前を付けて利用する。
 無料のDDNSのサービス「ieServer」「mydns」「No-IP」等を利用してグローバルIPアドレスに名前を割り当て。
 フリーソフト「DiCE」を使い定期的に更新する。


4.名前によるアクセス制御
 IISのサイトバインドの設定で指定した名前でのみアクセス可能にする。
 これで自動ツールなどによる不正アクセスの多くが防げる。
 Webサイトのみ設定。
 FTPサイトは・・・
  ホストヘッダー指定するとユーザ認証時にホスト名不正で拒否されたため、未設定。
  そのうち気が向いたら調査してみます・・・


これでインターネット上に公開されました。
かかった時間は、
1 パッチ適用再起動などで時間がかかり1週間くらい。
2 動作確認しながらで2日くらい。ルータの設定変更が地味にストレス。
3 半日くらい。名前決めるのが一番時間かかるかも。w
4 Webサイトだけなら1分。FTPは2時間程調査して諦めました。

次は海外からの不正アクセス対策を検討します。

ブログ気持玉

クリックして気持ちを伝えよう!

ログインしてクリックすれば、自分のブログへのリンクが付きます。

→ログインへ

なるほど(納得、参考になった、ヘー)
驚いた
面白い
ナイス
ガッツ(がんばれ!)
かわいい

気持玉数 : 1

なるほど(納得、参考になった、ヘー)

この記事へのコメント

この記事へのトラックバック

  • 「自宅Windowsサーバを公開した際の作業まとめ」について(続

    Excerpt: 前回の記事 「自宅Windowsサーバを公開した際の作業まとめ」について で書いた注意事項 >・割り当てられたグローバルIPアドレスが変更になった場合は都度変更が必要。 ですが、これはルーター.. Weblog: S のひとりごと racked: 2018-05-04 00:49