LAN上の他のPCからのSSHおよびHTTP要求を受け入れるがComcastゲートウェイの反対側では接続できないUbuntu 18.04サーバーがあります。
イーサネットを介してサーバーと同じComcastゲートウェイに物理的に接続されたWindows 10 PCがあり、Windows 10 PCでPutty、Filezilla、およびChrome(WebブラウザのIPアドレスまたはDNSドメイン名を使用)を使用してアクセスできます。サーバーとサーバーのウェブサイト。この場合、Windows 10 PCのブラウザはLAN経由でHTTPSにリダイレクトされます!しかし、これはすべて詐欺です! Verizonネットワーク上にあり、LAN WiFiに接続されていない携帯電話を使用すると、JuiceSSHまたはChromeのIPアドレスまたはドメイン名を使用してサーバーにアクセスできなくなります。 DHCP または固定 IP 設定は LAN 外部アクセスには影響しません。サーバーでDHCPを使用すると、LAN上の他のコンピュータのIPアドレスにのみアクセスできます。
UFWを無効にしました。 Comcast Gateway ファイアウォールを無効にしました。
何が間違っている可能性がありますか?問題をどのように診断しますか?
答え1
ネットワークアドレス変換(または減らしてNAT)が適用されるようです。
サーバーのIPアドレスは、次のいずれかの範囲に属していますか?
- 10.0.0.0 .. 10.255.255.255
- 172.16.0.0 .. 172.31.255.255
- 192.168.0.0 .. 192.168.255.255
- 100.64.0.0 .. 100.127.255.255
それならNATの背後にあるのです。これは、発信接続を正しく確立できますが、インターネットからの着信接続は、いくつかの追加の手順を実行しないとサーバーへのパスが見つからないことを意味します。
IPアドレスの数は限られており、すべてのインターネットユーザーがグローバルにルーティング可能なパブリックIPアドレスを持つには十分ではありません。これは、サービスプロバイダが割り当てられたアドレス範囲をさらに拡張するためにNATを実装することが多い理由です。 (IPアドレスの不足はさらに激しくなるため、IPv6がますます普遍化しています。)
IPアドレスが私がリストした最初の3つの範囲のうちの1つに属している場合、NATはおそらくComcastゲートウェイによって実装されます。 NAT をオフにして、ネットワーク内の各システムに個別のパブリック IP アドレスを持たせることができます。 (これは、すべてのシステムがインターネット上を走るワームや他のマルウェアからランダムな調査や攻撃を受けることを意味するので、この方法を使用するなら、すべてのシステムを最新の状態に保つ必要があります!
または、次の設定もできます。フォワードポートComcastゲートウェイ:デフォルトでは、ゲートウェイにはComcastゲートウェイに接続されているすべてのシステムで共有されるパブリックIPアドレスがあります。ゲートウェイの設定を使用して、「どこからでもTCPポート80(パブリックパブリックIP)への着信接続をポート80にルーティングする必要があります」などの規則を定義できる必要があります。これ着信HTTP接続が機能することを許可するローカルネットワークの「IPアドレス」またはSSHが機能するようにする同様のTCPポート22。必要なく一時ポート転送を自動的に要求します。
私がリストした4番目のIPアドレス範囲は特に不幸です。RFC 6598キャリアクラスのNATで動作します。これは、モバイルデータの購読で最も一般的に使用されます。この場合、NATはサービスプロバイダのシステム内で実行され、個々の加入者が設定できないため、これらのサブスクリプションを使用して着信接続をまったく処理できません。
答え2
パブリックIP範囲がない場合(ほとんど可能ではない)、インターネット接続はNATを使用します。内部アドレスは外部からアクセスできません(広く使用されているデスクトップオペレーティングシステムのセキュリティが非常に脆弱であることを考慮すると、これは基本的には良いことです)。サービスをインターネットに公開するには、ルーターでポート転送を設定する必要があります。