Das Foto vom Tag.

本家HP『釣り人狼』内のブログという位置づけ。

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
  1. --/--/--(--) --:--:--|
  2. スポンサー広告

Windows7でカイレラ(kaillera)サーバーが建てられない時の対処法とポート解放

Windows 7に乗り換えてからカイレラサーバー建ててもログイン出来なくて困ってる人いませんか?

私の場合これ結構困っていて、XP互換モードで起動してみたり、ポートの設定を見直してみたり、ルーターを初期化してみたりするものの解決せず。
色々ググってみてもいまいち原因が分からず、そのままどつぼにはまってしまって大変歯がゆい思いをしていた。
しかし、先日親友Ozheke氏より興味深い指摘(というかそのまま解決法となる指摘)を受けた。

結論を先に言うと、Windows7でカイレラサーバーを立てるときはUDPポート49152-65535を解放するということである。

カイレラサーバーを立てるときの解放ポートは一般的に、

TCP 27888
UDP 27888,1000-6000

を解放するとある。

だが上記のUDP1000-6000ポート開放でサーバーが建つのはWindows XPまでで、厳密に言うとWindows XP sp3以後のWindows XP 用セキュリティ更新プログラム (KB951748)を当てる前のシステムでのみである。

これはどういうことか?

Windowsが指示するエフェメラルポート(一時ポート)の番号がKB951748ホットフィックス適用以後に変更されたということである。
参考:Windows Vista および Windows Server 2008 では TCP/IP の既定の動的ポート範囲が変更されている

ホットフィックス適用以前のWindows XPが使用するエフェメラルポートはUDP1024-5000だがホットフィックス適用後ではUDP49152-65535へと変更されている。
今さらであるが、多くのカイレラ解説サイトにある1000-6000という数字にはそもそも根拠が無かったことがわかる(正しくは1024-5000であったのだ)。
あまり詳しいことは分からないが、この変更はWindowsがエフェメラルポート番号を指定する際の挙動に法則性が発見されてしまった結果、セキュリティーホールとなってしまった事への対処であるらしい。

だから、KB951748適用後のXPおよびWindows Vista、Windows7(64bit、32bit問わず)でカイレラサーバーを建てるときには

TCP 27888
UDP 27888,49152-65535

をそれぞれ解放する必要がある。ということになる。

私の場合、上記UDP解放後、Windows7 SP1(64bit)にてめでたくカイレラサーバーを建てることができた。
どうしてこんな大事なことが広くアナウンスされていないのか!?と今さらになって思ってしまうよね。

しかしOzheke氏は良く気付いてくれたなあと思う。
氏曰く「6000という数字の先入観が無ければすぐにエフェメラルポートの問題だと気付けたのに」ということだった。

まさに、そこに気づくとは...やはり...天才かってヤツだよね!どうもありがとう!



んでもって追記なんだけども、これはセキュリティー上重要な事かもしれない情報を書いておく。
UDP49152-65535を解放するというやり方だったけわけだけども、正直これはポート開けすぎ。どう考えても開けすぎ。
結局一時ポートとして使えるポート番号を全部開けちゃってるってことなわけだから、セキュリティー上あまり良い状態とは言えないだろう。
なので一時ポートとして使えるポートの範囲を狭めてやる必要があると思う。
それはVista以降のOSならばNetshを使って設定可能ということだ。
そのやり方というか解説みたいなものを(そんなに難しいことでは無いみたいなので)近いうちにうpしようと思う。
  1. 2012/03/25(日) 17:29:04|
  2. PCとオーディオ
  3. | トラックバック:0
  4. | コメント:5
<<千葉県野田市 ~やよい食堂~ | ホーム | ハンドメイドルアーを作るお!その5.1『アルミ貼り・鱗パターン転写』編>>

コメント

1000-6000って数値はおそらく経験則で割り出されたポート
最近まで、kaillera内部がこの中から順繰りでポートを抽出して割り振っているのかと思っていたら
なんのことはない、OSから割り振られた一時ポートに接続するようkailleraプロトコルが指示していただけというオチ
ここでNATなりファイアウォールに阻まれていたから
'Connected. Logging in'で止まっていたんだね
これを検証するにあたり、オープンカイレラのソースコードを読んで、kailleraプロトコルの大まかな挙動を確認。先駆者に感謝である
繋がらない、なんでだろう?って思ったときはルータやFWのセキュリティログを確認することが近道だなと実感したわ

何はともあれ、長年の謎が解けるというのは気持ちいいもんだね。検証ありがとう
  1. 2012/03/25(日) 18:02:42 |
  2. URL |
  3. ozheke #-
  4. [ 編集 ]

こちらこそどうもありがとう。
毎度毎度お世話になってますm(^^)m
  1. 2012/03/27(火) 21:21:02 |
  2. URL |
  3. パム太郎 #jkQ9TGNg
  4. [ 編集 ]

すみません。
今自分も、カイレラのさば立てにてこずっているのですが、ファイアーウォールでのポートの開放のやり方がわかりません。27888などはできたんですが、49152-65535のようにそのポート範囲を一気に開放する方法がわかりません。それともひとつずつ(49152,49153・・・65534,65535のように)開放するしかないのでしょうか?もし良かったら教えてください。
  1. 2012/05/05(土) 11:47:36 |
  2. URL |
  3. たけ #-
  4. [ 編集 ]

たけさんどうもこんにちは。
すみません。新着コメント通知がうまく機能していなかったみたいでいま気づきました。
ポート解放の件ですが、たけさんどんなファイアーウォールをお使いなのか分かりませんので明確には答えられませんが、
一般的に49152-65535のように、”-”でつないで設定保存すれば大丈夫だと思います。
それでもうまく行かない場合は、ファイアーウォールの製造元にたずねてみてください。
よろしくです。

なお、この49152-65535の解放というのは、いくら何でもポート開きすぎ状態なんです^^;
セキュリティー的にとてもよくない。

開くポート範囲をもっと限定する方法を追記したいと思っていますので、参考にしていただければと思いますm(_ _)m

では、よしなに。
  1. 2012/05/22(火) 20:24:36 |
  2. URL |
  3. パム太郎 #jkQ9TGNg
  4. [ 編集 ]

返事ありがとうございます。

どうやらvistaのFWでは範囲指定できないそうです・・・

くだらぬ質問してしまってすみませんでした。
  1. 2012/05/24(木) 13:42:42 |
  2. URL |
  3. たけ #fL7.iXNI
  4. [ 編集 ]

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://pamtaro.blog119.fc2.com/tb.php/91-d5d73d02
この記事にトラックバックする(FC2ブログユーザー)

プロフィール

パム太郎

Author:パム太郎
・1984年生まれ

・出生地 香川県/出身地 千葉県

・某TY大学 文学部哲学科卒

・ペンタックスと浦和レッズを愛する

・ビールはサッポロ CPUはAMD

・アンチアフィリエイト派

・社会のボトムズ

・メールアドレスは
 pam.taroあっとgmail.com

・Mixiからの引き継ぎブログです。

 古い記事はこちら↓
 http://mixi.jp/show_profile.pl?id=6914944

・twitterはこちら↓
 http://twitter.com/PAM_TAROU
 

最新記事

最新コメント

最新トラックバック

月別アーカイブ

カテゴリ

未分類 (0)
日記 (17)
映画・アニメ (2)
写真機材 (5)
釣り (9)
今日のおジャンク (7)
つるつるっと巡る (10)
Das Foto vom Tag. (15)
PCとオーディオ (3)
ハンドメイドルアー (21)

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する

QRコード

QR

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。