サーバ公開のための設定
<ルータの設定を中心に>
以下の記述には、かなりおやじのポリシーが入っていますので、その辺をご理解の上、参考にしてください。また、WAN側の設定については、契約ISPやホールセーラにより千差万別なので、ここでは触れておりません。記載内容等に誤った情報がありましたら是非教えてください。
自宅サーバをインターネットに公開する時、ネットワーク周りの設定で苦戦されている方が多いようなので、ルータの設定を中心に簡単にまとめてみました。ルータ毎に用語や機能が少しづつ異なりますが、ここの内容をよく理解して、各ルータの説明書をご覧になれば設定できるはずです。型番は異なっても同一メーカのルータには、ほぼ適用できると思います。なお、所有していないルータについては、ドキュメントベースでの設定例なので、必ずしもそのとおりの動作をしてくれないかもしれません。こちらを参考に設定されたかたは、是非実績報告してください。また、ドキュメントが手に入るものについては、順次増やしていく予定です。ご希望がありましたら、BBSまで。
FTPサーバ公開時に、ProFTPDならPASVモードで公開できることが判明したので、その設定方法をルータの設定例に追加しました。
MelcoのBLR-TX4が壊れたのとBフレッツ乗り換えのため、NTT-MEのBA8000 Proを購入・設置したので、その設定を追加しました。
大樹さんからマイクロ総合研究所 NetGenesis SuperOPT90で質問を受けたのをいいことに人柱になっていただき、ルータの設定・動作確認をしましたので設定例に追加しました。大樹さん、ご苦労様でした。
■ルータの設定例
設定例は、プライベートIPアドレス: 192.168.1.0/24、 クライアント数: 16台以下、 サーバのアドレス: 192.168.1.100、 サーバとして、FTP、
WWW(http/https)、 SMTP、 POP3を動作させるという条件のものです。おやじは、その他にIMAP4やVPNを動かしていますが、他の設定を参考にすれば、容易に設定できると思います。
- 住友電工 TE4121C/NTT-ME MN7300
- Melco BLR-TX4
- Corega SW-4P Pro
- NEC DR30F (NTT 600MN)
- NTT-ME BA8000 Pro
- マイクロ総合研究所 NetGenesis SuperOPT90
- NEC Aterm DR202C
- NTT-ME MN8300/8300W
■前提条件
ここでの前提条件を以下に示します。なお、他の環境もあると思いますが、その全てを記載することは不可能なので、下記を参考にして検討して見てください。
なお、大前提として、サーバ機で外部のWebサイトにアクセスできていることが条件になります。これは、以外な落とし穴で、DNSの設定やゲートウェイ等の設定がされていないためサーバが動作しないと言われる方が過去数件見受けられました。サーバとしての動作以前にクライアントとして正常に使えないとサーバとして動作しませんので、必ず確認してください。
- ISP回線は、ADSL又はそれに準ずる常時接続環境を使用しているものとする。
- ルータは、1台のみ設置されているものとする。(ADSLサービス契約でリースされたADSLルータの他に、わざわざブロードバンドルータ(以下BBRと呼称)を購入され、本人の意識していないところでルータが2段構成になっていて苦戦されている方がいるようです。ルータの2段動作については、本ページを理解された上で、こちらを参考にどのように動かすかを検討されるといいでしょう。 まずサーバを確実に動かすなら、ADSLルータだけで動かし、その後でBBRの使い道を考えたほうがいいでしょう。動作しないときどこから手をつければいいか分からなくなってしまいますので、なるべくシンプルな環境から始めるといいでしょう。
- ISPから払出されるグローバルIPアドレスは、1個の動的IPアドレスとする。
- 家庭内には、サーバの他に複数のクライアントが存在し、一つのISP回線を利用してクライアントからの同時インターネットアクセスおよびサーバの公開を実現する。
上記のネットワーク構成イメージを下記に示す。HUBは一般的にルータに内臓されているが、ロジカルには下記と同じであり、単にひとつの箱に入っているだけと思えばよい。
■設定項目
上記を実現するための、ルータ関係のキーワードはそう多くはない。 ルータにはいろいろな機能があるが、上記の目的だけならここの設定だけで動作するはず。
- DHCP/固定IP: 家庭内への複数クライアントの設置
- IPマスカレード: 家庭内の複数クライアントからのインターネット同時利用
- スタティックNAT: インターネットへのサーバの公開
- フィルタリング: セキュリティ対策(インターネットからの不正アクセス防止)
◆DHCP/固定IP
[IPアドレスの考え方]
家庭内で複数クライアントを動かすためには、それぞれに
プライベートIPアドレスを付与する必要がある。プライベートアドレスとしては、クラスA/B/Cの3つのアドレスグループが割り付けられているが、ADSLルータ(ADSLインターフェースを持ったルータ。住友電工のTE4121CやNTTのMN600等)や家庭向けブロードバンドルータでは、端末数が限られているためその多くはデフォルトでクラスCを採用しており、192.168.1.0/24又は192.168.0.0/24となっている。以下、192.168.1.0/24(192.168.1.0/255.255.255.0と同義)のネットワークを例に記述する。実際のIPアドレスは32ビットで構成されているが、これをそのまま扱うのは不便なので、8ビットづつに区切り、それを10進数で表している。
この設定で使用できるのは、192.168.1.0から192.168.1.255までの256個のアドレスであるが、先頭の192.168.1.0(ネットワークアドレスといわれるものであり、ネットワーク識別に使用)と最後の192.168.1.255(
ブロードキャスト通信で使用)は、ネットワーク制御用のアドレスのため端末用としては使用できない。従って、端末に使用できるのは24ビットマスクの場合、254個となる。ここの/24とは、
サブネットマスクと言われるもので、/24の意味は、IPアドレスの上位から24ビットが一致しているアドレスをひとつの
サブネットとして扱うという意味である。端末は、パケットを受け取ると自分のサブネットマスクに従い、上位nビットが同一であれば取り込んで処理を行う。従って、同じサブネット上の端末は、全て同じサブネットマスクを設定しないと通信できなくなるので、注意する必要がある。
サブネット内(ここでは家庭内)では、レイヤ2のスイッチングで通信するため、端末はHUBでつなげば良く、ルータを必要としない。ルーティングができない
NETBEUIもこのサブネット内では使える。ルータは、異なるサブネット間をルーティングにより通信できるようにする機械であり、基本的に家庭内ではルータは不要である。
では、この254個のアドレスをどのように使うかであるが、家庭内のネットワークを考えると、ここに接続されるものとしては、ルータ、サーバ、クライアント、プリントサーバなどがあり、それぞれがIPアドレスを必要とする。付与基準は特に無いが、ネットワーク機器は1桁台、クライアントは2桁台、サーバは3桁台等、何らかのポリシーを設けておくとよい。
[ルータの設定]
まずルータであるが、ルータのWAN側には、動的IPサービスの場合、ISPから認証シーケンスの中でグローバルアドレスが付与されるので、ISPから提示されたマニュアルに従い設定すればよい。固定IPの場合も同様に、マニュアルに従い設定する。
LAN側(家庭内側)には、一つのプライベートアドレスが必要となる。このアドレスはルータに固定的に割り付けるものであり、ネットワーク的にはそのLANポートが接続されるサブネットの
ゲートウェイアドレス(クライアント等に設定)と言われるアドレスとなる。ゲートウェイアドレスとは、家庭内の端末が他のサブネット(ここでは、インターネット)と通信するときにパケットを投げる宛先、つまりそこへ投げれば最終目的地へ中継してくれる宛先アドレスのこと。端末は、同じサブネット内の通信は、
アドレス解決により相手端末の
MACアドレスを知り、そこにパケットを投げることにより通信している。
LAN側アドレス(ゲートウェイアドレス)については、デフォルトから変更しないか、変更するとしてもサブネットは変更しないことを勧める。変更すると、何らかの理由でルータを工場出荷状態に戻したとき、サブネットが異なってしまうためパソコンの設定まで変更しないとルータの設定ができなくなってしまい、戸惑うことがあるからである。同様の理由で、ルータをリセットしたときにアドレスがぶつかってしまうので、デフォルトのゲートウェイアドレスは他で使用しないようにしたほうがよい。
[サーバの設定]
サーバは、後述のスタティックNAT(ポートフォワーディング)のため、固定IPとすること。クライアントをDHCP運用する場合は、DHCPで払い出すアドレスの範囲外にすることを忘れないようにしないと、ある日突然アドレスが重複して通信できなくなるので注意が必要である。
[クライアント関係の設定]
家庭内のアドレス運用として、DHCP運用と固定IP運用の2つの運用方法がある。おやじは、以下の理由から固定IPで運用している。
- プリントサーバが、DHCPクライアントの機能を持っていない。
- サーバを公開するためには、後述のスタティックNAT機能が必須のため、サーバのIPアドレスが固定されている必要がある。
- トラブル時にIPアドレスが固定されているほうが原因を追求しやすい。
特に、3番目の理由が大きく、ネットワークの疎通確認等で端末とIPアドレスが固定していないというのは、調査する時にかなり不便である。ただ、ノートパソコンを会社と家庭で利用したい場合で会社がDHCP運用している場合等は、パソコンの設定を変更する必要がないのでDHCP運用のほうが便利である。会社が固定なら、家庭内のアドレス体系を会社に合わせてしまうと言うのも一つの解決策である。いずれにしても、各人で使用環境が異なるので、自分にメリットが多い方法を採用することになる。
「固定IP」
固定IP運用する場合は、DHCPを使用しない設定にするだけで、ルータとしてのアドレス関係の設定は何も無い。
「DHCP」
DHCP運用とする場合、DHCPでアドレスを払出すアドレスの先頭アドレスと増加することも踏まえて払出す必要があるクライアントの最大数を決める必要がある。DHCPはクライアントからアドレスの払出し要求があった時、ここで指定された先頭アドレスから順に指定された数を使いきるまで割り当ててくれるだけなので、払出しアドレスの先頭は、254個のどこからでもいいのだが、一般的にルータのLAN側アドレスが192.168.1.1となっているので、一般的には次の192.168.1.2からで良い。払出すクライアント数は、必要なだけ設定すれば良い。先頭アドレスからその数だけの範囲内でアドレスが払出される。但し、家庭向けBBRという事もあり、性能等考えると最大でも32以下としたい。ルータによっては、最初と最後のアドレスを指定するものもあるが、考え方は同様である。
なお、ルータによっては、MACアドレス対応にあらかじめ払い出すアドレスを固定設定できる機能があり固定IPと同様の利用ができ、サーバのアドレス付与にこの機能を利用してる方がいる。しかし、物理的なMACアドレスを管理しなければならなくなり、設定したことを忘れてしまうと、LANカードが壊れたとき交換しても通信できない等の問題が発生し障害復旧に手間取るのでおやじは薦めない。人間にやさしくないシステムは避けるべき。DHCPで払い出すアドレスを避けて付与すれば良いので、サーバは
普通の方法で固定IPとすることを薦める。
・・・DNS関係の設定・・・
ルータにはDNSに関する設定があるが、ここには使用するDNSアドレスに関する設定を行う。アドレスの設定方法としては、ISPから自動取得(認証シーケンスの中で取得)するか、手動で設定するの違いがある。基本的に自動取得に設定するべきであり、この方法なら入力ミスを防止できるし、ADSLから光に乗り換えても変更が不要(同じISPでもアクセスできるDNSがサービスによって異なる場合があるので、注意が必要)である。但し、自動通知できないISPは、当然、手動で設定せざるをえない。また自動取得したDNSは負荷が重い等の場合にも、手動で設定するといい。ここで設定した内容は、大きく2つの用途で使用される。一つはルータのDNSリレー機能(DNSフォワーディング等とも言う)機能と関連し、もう一つはルータのDHCPサーバ機能と関連する。
なお、ルータごとに微妙に設定が違うので、自分が何をしようとしているかよく考えて設定する必要がある。また、DNSリレー機能Iを使用するとISPとクライアントの間にDHCPサーバがあるイメージになるので、運用のバリエーションがいろいろある。
- DNSリレー(DNSフォワーディング)との関係
DNSリレーは、家庭内のパソコンに対してルータがあたかもDNSであるかのごとく振舞う機能であり、一旦、設定してしまえば、例え固定IPでパソコンを動かしたとしても、ルータのLAN側アドレス(通常ゲートウェイアドレスと同じ)を設定するだけなので、いちいちISPのDNSアドレスを調べなくてもよいというメリットがある。
- DHCPサーバとの関係
DHCPサーバ機能を使用すると、パソコンにアドレスを配布すると同時に、ルータが知っているDNSアドレス、つまり上記で自動取得もしくは手動で設定したDNSのアドレスを通知できる。
パソコン側の設定という観点でみれば、IPアドレスは、DHCPで自動取得するか、手動で設定するという選択肢がある。先にも述べたとおり、サーバは手動設定としなければならないが、クライアントは自分の環境で選択すればよい。
一方、DNSアドレスは、IPアドレスを自動取得と設定した場合、同様にDNSアドレスも自動取得する方法と、手動で設定する方法があるが、特段の理由が無い限り自動取得で問題ない。IPアドレスを手動(固定)設定した場合は、DNSアドレスも手動で設定せざるを得ない。この場合、DNSリレーを使うならルータのLAN側アドレスを指定すればいいし、使用しないならISPから通知されたDNSアドレスを設定することになる。これも、管理を簡単にするならDNSリレー機能を使用すると良い。
上記ポリシーでのアドレスの割り付け例を以下に示す。最初と最後の制御用アドレス以外は、この例にこだわる必要は全く無いので、各人のポリシーで決めればよい。サーバ等の共通装置は後ろ(192.168.1.254)から付与しているネットワークも多い。
アドレス |
用 途 |
備 考 |
192.168.1.0 |
ネットワークアドレス |
ネットワーク制御用(使用不可) |
192.168.1.1 |
ゲートウェイアドレス |
ルータのLAN側に付与するアドレス |
192.168.1.2 |
クライアント1
:
クライアント32 |
DHCPから払いだすクライアント用アドレス
または、固定IPでクライアントに割り付けるアドレス |
: |
192.168.1.33 |
192.168.1.35 |
予備アドレス |
|
: |
192.168.1.99 |
192.168.1.100 |
自宅サーバ |
サーバ等の固定IPアドレスを必要とする端末に付与 |
192.168.1.101 |
プリントサーバ等 |
: |
192.168.1.254 |
192.168.1.255 |
ブロードキャストアドレス |
ネットワーク制御用(使用不可) |
◆IPマスカレード
家庭内の複数のクライアントからインターネットを同時利用するためには、ルータのIPマスカレード(IP
Masquerade)という機能を使用する。というより、必須である。似たような機能として、
NAT(Network Address Translation)と言われる機能がある。家庭内LANに接続されたクライアントからインターネットにアクセスする時に送信されるパケットのソースアドレス(送信元アドレス)には、クライアントに割り当てられたプライベートIPアドレスが設定されるが、NAT機能ではこのプライベートIPアドレスをADSLルータに割り当てられたグローバルIPアドレスに変換して中継する。逆方向は、グローバルIPアドレスに到着したパケットのディストネーションアドレス(宛先アドレス)をプライベートIPアドレスに変換して家庭内に中継する。
しかし、NAT機能はあくまで、グローバルとプライベートのIPアドレスを1:1に変換するだけなので、家庭内に複数のクライアントがあると、その数だけグローバルIPアドレスが割り当てられていないと、クライアントはインターネットとは通信できなくなってしまう。グローバルIPアドレスは、固定IPアドレスでないと変換規則が決められないので使用できない。
このような問題を解決するがIPマスカレード機能であり、IPアドレスの変換(複数のプライベートIP←→一つのグローバルIP)を行うとともに、UDP/TCPのポート番号の変換を行うことにより、一つのグローバルアドレスに複数のプライベートアドレスのパソコンを割り当てることを可能としている。イメージとしては、グローバルアドレスは一つであるが、インターネット上で使うポート番号とクライアントのIPアドレスを関連付けした変換表をもつことにより、そのポート番号からどのクライアントの通信であるか識別することにより、複数クライアントの同時通信を可能としている。IPマスカレードという言葉は、Linuxの世界での用語であるがかなり一般化している。正式には、NATに対してポート番号も変換するため、NAPT(Network
Address Port Translation)というのが正式名称である。
IPマスカレードのイメージは
こちらがわかりやすいでしょう。
◆ポートマッピング(スタティックNAT)
アドレス設定、IPマスカレードの設定で、家庭内複数クライアントからのインターネット同時利用は可能になる。しかし、サーバをインターネットに公開するには、更なる設定が必要になる。何故なら、クライアントからインターネットにアクセスする場合は、IPマスカレード機能によりアクセス開始時に変換則を決められるので逆方向の通信も正常に中継できるが、家庭内に設置したサーバにインターネットからアクセスがきた場合には、最初のパケットはインターネットからくるため変換則がなく、ルータはどの端末に中継していいか分からないので廃棄してしまう。この問題を解決するのが、ポートマッピング(スタティックNAT)機能である。ポートマッピング機能では、家庭内サーバで使用するポート番号とプライベートアドレスとを、あらかじめインターネット側で使用するポート番号とグローバルアドレスとの対応付けを設定しておくことにより、最初にインターネット側からアクセスがあった場合にも、目的のサーバにパケット中継することが可能になる。ポートマッピングの設定をするため自宅サーバを設置する場合は、サーバだけは固定IPアドレス化する必要がある。
WWWサーバを公開する例としては、
- インターネット側のクライアントのブラウザで「http://example.zive.net/」をアクセスすると、ブラウザはexample.zive.netからDNSでIPアドレス(おやじのルータのWAN側のグローバルアドレス:GA)に変換し、そのアドレス(GA)の80番ポート(HTTPのデフォルトポート)に向けてアクセスしてくる。
- このパケットをルータのLAN側に接続されたWWWサーバ(プラーベートアドレス:PA、
80番ポートで待ち受け中)に中継してあげれば、通信ができる。
従って、ポートマッピングでは、WAN側の80番ポートをLAN側のWWWサーバのプライベートアドレス(PA)の80番ポートにマッピングしてあげれば、あたかもルータのWAN側にWWWサーバが80番ポートで接続を待ち受けているのと等価になり、WWWサーバの公開が可能となる。
同様の機能としてルータにはDMZという機能があるが、本機能は基本的にサーバ公開に使用してはいけない。ポートマッピングは指定したポート以外は、サーバに中継せず廃棄してくれるので一種のファイヤウォールになっている。しかし、DMZ機能は全く逆であり、中継できないパケットをインターネット側から受信した場合に全てサーバに中継してしまうため、サーバがインターネット上に剥き出しいなっているのと等価になるので、自由にアクセスできてしまう。従って、サーバ自体がしっかりガードできていなければ(おやじはほとんど不可能と思う)、ひとたまりも無いので、絶対にサーバ公開ではDMZ機能を使用しないことを薦める。
◆フィルタリング
フィルタは、サーバや家庭内のパソコンへのインターネットからの不正アクセスを防止するためにルータに設定する。ルータのフィルタリングポリシーには、大きく分けて2つある。ひとつは、どうしても塞がないと危険なものだけ塞ぎ、後はオープンとする方法(方法1)であり、もうひとつは、指定したもの以外は一切通さないという方法(方法2)である。本来、フィルタリングの趣旨から言えば、当然後者のポリシーを選択すべきであるが、さまざまなアプリケーションで使用されているポート番号を把握し設定できる自信が無い場合は、あのソフトが動かない、このソフトが動かないといった問題にぶつかることになる。また、家庭向けルータでは定義できる量にも限界があるので、かなりこの分野に詳しい方でないと設定は難しい。
家庭向けBBRのフィルタリングポリシーは、基本的に暗黙のAllowになっている。つまり全てのパケットは基本的に通過させ、通過させないものを設定していく方式である。従って、サーバを公開するという目的だけならデフォルト設定で問題はない。あとは、セキュリティ上、何をフィルタリングするかであるがフィルタリングの仕組みは次のようになっている。
- フィルタリング条件をテーブルに設定する。
- ルータはパケットを受信すると、テーブルを登録された順番(TE4121Cのように優先度を設定できる機種もある)に検索し、条件にマッチした場合はそこで指定された処理(一般的には廃棄。TE4121Cは通過させたり廃棄させたりマッチング後の処理を設定できるのできめ細かい設定が可能)を行う。
- テーブルの最後までいっても登録条件にマッチしない場合は、デフォルトの処理として通過させる。
どのようなフィルタリングができるかは、ルータのフィルタリング機能の内容で決まってしまう。ポイントはTCPのフラグが扱えるか否かである。
- パラメータとしてTCPのフラグが扱え、パケットの方向が設定できる機種。住友電工のTE4121C、NTT-ME
BA8000 Pro、 Micro技研のOPTシリーズ、YAMAHA等があるが、設定は複雑であるがきめ細かい設定が可能。
- フラグは扱えないが、パケットの方向が設定できる機種。NEC DR202等であるが、これだけではあまりきめ細かい設定はできない。
- フラグもパケットの方向設定のいずれもできないものは、ルータが持っているデフォルトのフィルタリングしか設定できないため、特定の用途でしかフィルタを利用できない。CoregaやMelcoのルータが該当する。
[方法1] (ルーズな設定)
フィルタリングするのは、最低限のものであるが、Microsoft ネットワーク共有サービスやネットワークコンピュータ等で使用されている137〜139番ポートと、WINS等で使用されているらしいDEC準拠RPCの135番ポートと、Windows2000のファイル共有等で使用されている445番ポートは止めるべき。後は、必要に応じて止めるとよい。例えば、FTPを動かすが外には公開しないなら、21番を止める等。止めなくてもサーバの設定で外部からの接続を止められますが、特にFTPは、何か面白いものがないかanonymousサーバを探しにくるため、ログにゴミが残るのでおやじは止めている。(現在は、WarFTPd日本語化パッチ提供のため開けている。)
[方法2] (ガチガチな設定)
基本的にAllowになっているフィルタリングを基本的にDenyにするため、テーブルの最後に、アドレス:any、ポート:anyでTCPもUDPもdenyとする設定をする。その後、必要なポートだけを高優先(テーブルの先頭から)で開放していく。ICMPは別途ポリシーに併せて設定する。但し、この方法は、TCPのフラグと方向性の設定、フィルタリングテーブルにマッチした後の処理を設定できる機種(TE4121CやBA8000は可能だが、BLR-TX4は不可)のみに適用できる。このような設定ができないBLR-TX4は、方法1しか手は無く、限られた中で設定するしかない。
ガチガチに閉めると、インターネット側から通信が始まるものは、TCPもUDPも「通過」と設定したもの以外通らないので、Windows
messengerやP-to-P等を使う場合は、必要に応じてポートを開ける必要がある。但し、設定できる量に制限があるので、何かを犠牲にしなければ設定できないのはいたしかたない。
◆参 考
[フラグの扱い方(例)]
おやじの使用している
TE4121Cの設定を見てもらいたい。この設定のポリシーは、LAN側から始まる通信はフリーで通すが、WAN側から始まる通信は、許可設定したもの以外は通さないという設定になっている。但し、LAN側から通信が始まるものは、素通りなのでトロイの木馬等には弱い。(これは、ファヤウォールソフトで対処)
おやじの設定では、TCP関係の設定が全て「TCP-SYN」となっている。「TCP-SYN」とは、SYNフラグが付いたTCPパケットという意味で、TCPコネクションを張るときの最初のパケットのことである。(フラグについては
こちらを参照のこと。) このパケットだけを流れる方向を見てフィルタリングし、不当なコネクション設定をガードしている。一旦、コネクションが設定されてしまった後のパケットは見ていないので、自由に通過できる。仕組みは以下のとおりである。
- フィルタリングテーブルの最後(最低優先度)に、WAN側から流入する全てのポート番号の「TCP-SYN」パケットを廃棄する設定をする。これにより、WAN側から一切の通信を開始できなくなる。つまり、サーバやクライアントへインターネット側からはアクセスできなくなるということである。逆にLAN側から通信が始まる場合、例えば、家庭内のクライアントで外部のサイトを見る場合等は、この条件に該当しないので、何ら問題なく通信ができる。
- このままではサーバ公開ができないので、この記述より前(高優先度)に、サーバで使用しているポートを指定して、「通過」と設定していく。具体的には、例えばWWWの場合は、外部から80番ポートにアクセスしてくるので、WAN側から要求元のアドレスやポートは任意で、80番ポートに向かう「TCP-SYN」パケットは「通過」と設定すればよい。
但し、この設定も欠点がないわけではない。WAN側から通信が始まるアプリでポート番号が特定できない等の場合は困ってしまう。パケットキャプチャするなどしてポートを特定すれば、対応は可能であるが、後者はそのアプリの使用を諦めるか、セキュリティとバータになるが特定のレンジでポートを開けるか、最悪、1024番以上のポートを全て開けるしかない。ここは、各人の判断によるところであるが、個人的には、パッチをしっかり当て、余分なデーモンを止めるなどしておけば、あまり神経質になる必要はないと考えている。所詮、プロに狙われたらどうしようもないと思っているので。
[フィルタリングテーブルの書き方(順序)]
ルータのフィルタリングの記述は、単にルールを書くだけでは駄目であり、その順番も非常に重要である。フィルタはフィルタリングテーブルの順番(優先度)で処理され、条件がマッチしたところで処理されるからである。一例を、おやじのTE4121Cの設定で示すが、フィルタリングは以下の順番で設定してある。
- あたかも家庭内からアクセスがあったかのように、要求元のIPアドレスをプライベートアドレスに偽装したアクセスの排除。
- マイクロソフトネットワーク関係のプロトコルの外部への遮断。
- サーバ関係で使用しているポートの開放。
ここで、1番が最後(優先度低)になり、2-3-1の順番で書かれていたとしよう。この場合、IPアドレスを偽装したサーバ関係のパケットは3番のフィルタにマッチするので、通過してしまう。もしそのサーバで家庭内からしかアクセスできないような使い方をしていると、それにアクセスできてしまうことになり、本来の目的を達成できない。同じカテゴリ内、つまり1番でいえば、クラスA/B/Cの記述順番はどうでも良いが、カテゴリの異なるものの順番はよく考えて設定する必要がある。
[IPアドレスの固定方法]
パソコンのIPアドレスを固定化する方法は以下のとおりです。(Windows2000の場合)
- 「コントロールパネル」の「ネットワークとダイヤルアップ接続」を選択すると、その中に「ローカルエリア接続」があるので、右クリックしてプロパティを開く。
- 「インターネット プロトコル(TCP/IP)」を選択し、プロパティを選択する。
- デフォルトでは「IPアドレスを自動的に取得する」になっているが、「次のIPアドレスを使う」を選択し、IPアドレス、サブネットマスク、ゲートウェイアドレスを設定する。
・IPアドレス: 192.168.1.2〜192.168.1.254(ルータのゲートウェイアドレスがデフォルトで192.168.1.1になっているため。)
・サブネットマスク: 255.255.255.0
・ゲートウェイアドレス: 192.168.1.1(ルータのLAN側アドレスのこと。何らかの理由でルータをリセットしてもアクセスできるためルータのデフォルト値をそのまま使用したほうが良い。)
Top Pageへ