web-dev-qa-db-ja.com

ルーターに割り当てることができるIPアドレスの範囲を確実に決定する

ISPが提供するホームインターネットサービスを利用している私たちの多くと同様に、私のルーター/モデムには、通常は範囲内の外部IPアドレスが動的に割り当てられます。ルーターがリセットされると(たとえば、停電によって)、ルーターはISPとは異なるIPアドレスで新しいリースをネゴシエートします。

自宅から管理者権限のあるサーバーに接続します。サーバーのファイアウォールを、ホームルーターに割り当てられている可能性のあるIPアドレス範囲のみに開きたいのですが。

この範囲を確実に判断するにはどうすればよいですか?私が電話をかけた場合、ISPはこの情報を教えてくれないと思います(ポリシーで許可されていないか、スタッフが私が何について話しているのかわからないため)。

また、セキュリティ上の理由から、最小の範囲(または可能な範囲のセット)にしたいと思います。

routeripisp
2
digitalmaps

ISPの誰かがこの情報を教えてくれないと思い込まないでください。あなたは正しいかもしれませんが、正直なところ、彼らはこの情報を持っている人々です。あなたは彼らから静的IPを購入することができるので(あなたがそれを望まなくても)彼らは知っているものです。

確実に範囲を狭めることはできません...まったく。つまり、そこに数字を投げましょう。例えば...

ある日のIPアドレスが69.79.10.230だったとしたら、ISPは顧客のために69.79.10.xxxしかリースしていないということです。彼らは69.79.xxx.xxxを利用できる可能性があります。つまり、65,000を超えるアドレスが利用可能です。そして、割り当てられているアドレスを監視する場合...たとえば... 1週間、これらが動作する唯一のサブネットであると誰が言いますか?あなたは一ヶ月見なければなりませんか? 6か月ごとまたは毎年サブネットをローテーションするとどうなりますか?そのため、狭い範囲では確実に推測できないと思います。

もちろん、これは、この目的のために「狭い」と「確実に」をどのように定義するかに本当に依存します。

これが、チャンスをつかんでISPテクニカルサポートに電話するべきだと私が言う理由です。何が必要か、なぜそれが必要なのかを正確に伝え、レベル2の技術者または監督者に相談してください。正直なところ、彼らは通常、あなたが思っているよりもはるかに協力的です。特に、彼らが直接の責任を負わないことをあなたに話しているときはなおさらです。彼らはあなたのルーターをセットアップする方法をあなたに教えるのにそれほど役に立ちません(彼らは彼らが所有していない機器に対して責任を負いたくないので)、しかしあなたにあなたのIPアドレスが来ると期待できる範囲を与えることはそうではありませんあなたが時間の経過とともにあなた自身でまだ経験しないであろう何か。彼らはあなたを断るかもしれません、しかしねえ...あなたが尋ねないかどうかあなたは決して知りません。

3
Bon Gart

Bon Gartが言ったように、この情報を知っているのはISPだけであり、信頼性を持って推測することはできません。これは時間とともに変化する可能性があります。

とにかく、これはサーバーファイアウォールを開いて接続するための安全な方法ではないと思います。使用しているOS、サーバーで何をしたいのか、どのように何を利用できるのかに応じて、より安全な接続方法があります。ここにいくつかのアイデアがあります:

  • ダイナミックDNSプロバイダー(dynDNSまたは DNSExit など)に登録し、ホームマシンに割り当てられたホストアドレス(ポインター)に対してのみファイアウォールを開きます
  • 両側にSSL証明書を備えたVPNを使用します( openvpn など)
  • パスワードだけでなく、キーまたはキーとパスワードでSSHを使用する
  • ssh(または他の)ポート(sshキーを使用)のみを開き、サーバーで使用する必要のあるポートへの暗号化されたトンネルを作成して、マシンのローカルポートに接続します
  • いずれの場合も、 fail2ban などを使用して、数回の間違った試行の後にIPをブロックします。
3
laurent