ライン

ポイント:*

ライン

 はじめに

評価版をVMware 5.5のゲストに入れてメモ

 特に現段階でWindows Serverのmrもページを作る理由はなかったのですが、何かのメモをするページがなかったのでとりあえず準備しました。

 ネットワーク環境

最初にインターネットが必要だった

 インストールが完了した直後に、もうライセンス期限切れの表示に…。最初にインターネット経由で認証にいかないと評価版として開始にならないものらしい。
仕方ないので、暫定でインターネットを参照できるようにネットワークを準備して、さらしましたら評価版になりました。

 

 とりあえず、ウェブが見えないのが残念なので、フォワードプロキシを入れることにしようと思います。これはCentOSでやります。
それと、VMのコンソールだと使いづらいので、リモートデスクトップ接続をできるようにすることにしました。
これもCentOSを利用することにします。

xinetd

 まずは、リモートデスクトップが使いたいです。
Windows 2012R2マシンは、インターネットに接続できないサーバLANに配置しました。両方足のある踏み台マシンにxinetdのデーモンを動作させます。

# yum install xinetd
# service xinetd start
# chkconfig xinetd on

これでサービスは開始。

踏み台サーバのサーバLANのIPは以下のようにしました。

DEVICE=eth1
TYPE=Ethernet
ONBOOL=yes
BOOTPROTO=static
IPADDR=172.16.0.254
NETMASK=255.255.255.0

有効にして利用できるようにします。

# ifup eth1
Determining if ip address 172.16.0.254 is already in use for device eth1...
# ifconfig -a eth1
eth1      Link encap:Ethernet  HWaddr -
          inet addr:172.16.0.254  Bcast:172.16.0.255  Mask:255.255.255.0
          inet6 addr: -/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3 errors:0 dropped:0 overruns:0 frame:0
          TX packets:13 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:180 (180.0 b)  TX bytes:762 (762.0 b)

 Windows側よりも見えていることを確認しました。

 

 自分のページを参考に設定を追加。

# cd /etc/xinetd.d
# vi gate-mstsc

設定は以下。

service ms-wbt-server
{
        disable         = no
        flags           = NOLIBWRAP
        type            = UNLISTED
        socket_type     = stream
        protocol        = tcp
        bind            = (普段のネットワークのIP)
        port            = 3389
        redirect        = 172.16.0.100 3389
        wait            = no
        only_from       = 192.168.1.20/255.255.255.0
        user            = root
}

上記では、この自PCのIPが192.168.1.20である前提で、利用許可を出しています。
接続先のWindows 2012R2のサーバのサーバLANのIPアドレスが172.16.0.100である前提です。
RDPのポートは 3389。

# service xinetd reload
設定を再読み込み:                                          [  OK  ]
# netstat -lnt|grep 3389
tcp        0      0 (ネットワークのIP):3389        0.0.0.0:*                   LISTEN

こんな感じ。ここで忘れがちなのは、ファイル名。gate-mstsc.20160213 とかにしてもサービスとしては動いているように見えますけど、実際には読み込んでくれない。/var/log/messagesを参照のこと。上記、reloadとしていますが、一般的にはrestartです。UNLISTEDにしておけば、たぶんreloadで大丈夫かなと。

 

Windows側のファイアウォール設定のパブリックにチェックを入れておかないと接続できないので注意。

 
 

これで、向こう側(サーバLAN)に接続できます。

mod_proxyによるフォワードプロキシ

向こう側(サーバLAN)から、外側を見れないのは不便なので、80と443は許可しますが、こっちはxinetdではなく mod_proxyで制御するフォワードプロキシで設定することにします。

まずはapache2.2を入れる。

# yum install httpd
...
依存性を解決しました

====================================================================================================================
 パッケージ                                                アーキテクチャ                                     バージョン                                                           リポジトリー                                         容量
====================================================================================================================
インストールしています:
 httpd                                                     x86_64                                             2.2.15-47.el6.centos.3                                               updates                                             831 k
依存性関連でのインストールをします。:
 apr                                                       x86_64                                             1.3.9-5.el6_2                                                        base                                                123 k
 apr-util                                                  x86_64                                             1.3.9-3.el6_0.1                                                      base                                                 87 k
 apr-util-ldap                                             x86_64                                             1.3.9-3.el6_0.1                                                      base                                                 15 k
 httpd-tools                                               x86_64                                             2.2.15-47.el6.centos.3                                               updates                                              77 k
 mailcap                                                   noarch                                             2.1.31-2.el6                                                         base                                                 27 k

トランザクションの要約
====================================================================================================================
インストール         6 パッケージ
...
# service httpd start
httpd を起動中: httpd: apr_sockaddr_info_get() failed for svrgate
httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName
                                                           [  OK  ]
# chkconfig httpd on

という流れで、一応起動まで確認。

今回使いたいのは、サーバLAN側でフォワードプロキシの設定なので、その辺りを変える。

# cd /etc/httpd/conf
# cp -p httpd.conf httpd.conf_orig

httpd.confを修正する。

まずは、Listenするのは、VIPで 192.168.0.250 を加えて、8080ポートにしたい。

Listen 172.16.0.250:8080

リバースプロキシじゃないし、フォワードプロキシをオン。

ProxyRequests On

利用できるのは、172.16.0以下に限定。

<Proxy *>
    Order deny,allow
    Deny from all
    Allow from 172.16.0.0/24
</Proxy>

HTTPリクエストヘッダにViaを付ける。

ProxyVia On

使ったこと無いけど、ディスクキャッシュを有効にしてみた。
24時間に限定する。

<IfModule mod_disk_cache.c>
   CacheEnable disk /
   CacheRoot "/var/cache/mod_proxy"
   CacheMaxExpire 86400
</IfModule>

さて、eth1がサーバLANにしているので、ここにVIPを加える。

# vi /etc/sysconfig/network-scripts/ifcfg-eth1

具体的には以下の通り。

DEVICE=eth1
TYPE=Ethernet
ONBOOL=yes
BOOTPROTO=static
IPADDR=172.16.0.254
NETMASK=255.255.255.0
IPADDR1=172.16.0.250
PREFIX1=24

有効にする。

# ifup eth1
Determining if ip address 172.16.0.250 is already in use for device eth1...

# ip addr show eth1
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether -f
    inet 172.16.0.254/24 brd 172.16.0.255 scope global eth1
    inet 172.16.0.250/24 brd 172.16.0.255 scope global secondary eth1
    inet6 -/64 scope link
       valid_lft forever preferred_lft forever

毎度で、"already in use" というメッセージは無視。

さて、apacheを再起動しよう。きもいし、gracefulやreloadなんかここでは使わない。

# service httpd start
httpd を起動中:                                            [  OK  ]

# netstat -tanp|grep 8080
tcp        0      0 172.16.0.250:8080           0.0.0.0:*                   LISTEN      2526/httpd

こんな感じ。
iptablesの設定は適当に処理してあげる。

全部のサイト許可ではなく、限定させることもできる。

これでいいかは未確認ですが、以下のように限定してみました。
yahoo.co.jpとgoogleはまずは利用可能(検索するだけで先は制限しているまま)。
Windows Updateで使っていそうな先を利用可能に…という感じですね。

<Proxy *>
    Order deny,allow
    Deny from all
</Proxy>

<Directory proxy:*>
    Order deny,allow
    Deny from all
</Directory>

<ProxyMatch \.yahoo\.co\.jp|\.yimg\.jp|\.yjtag\.jp|\.google\.co\.jp>
   Order deny,allow
   Allow from 172.16.0.0/24
</ProxyMatch>

<ProxyMatch \.windowsupdate\.com|\.microsoft\.com>
   Order deny,allow
   Allow from 172.16.0.0/24
</ProxyMatch>

httpd.confのデフォルトの

 Order allow,deny
 Allow from all

は、

Order deny,allow
Deny from all

に変更しています。

# service httpd graceful

で反映させて、更新完了という感じで使えています。

 Windows Server 2012 SP2作業

セキュリティ強化の構成

 折角、プロキシを使いたいのに、デフォルトで使い勝手を悪くする制限を解除します。
一瞬で解除できるようにして欲しいのにな。

 

サーバーマネージャーのローカルサーバーを選択。
ここにIEセキュリティ強化の構成というのが有効になっているのが見える。
ここをクリックする。そしてadministratorsグループをオフに設定を変える。

 
 
 

まずは、ここは完了。次はプロキシ設定。

 
 
 
 

こんな感じで動作できることを確認しました。

※プロキシ自動設定でプロキシを認識するようにしてみたのですが、IEがうまく使ってくれない感じでした。原因は探せていないままです

【改訂履歴】作成:2016/2/13 更新:-
【参考リンク】

 
Copyright © 1996,1997-2006,2007- by F.Kimura,