|
特集 4.IPアドレス/ポート変換機能 |
|
多くのブロードバンド・ルータには、前ページに記したIPマスカレードのいわば「弊害」を回避する機能も実装されている。ブロードバンド・ルータのアドレス/ポート変換機能にある設定項目は、この機能にかかわるものがほとんどだ。
この機能を大別すると2種類になる。1つは「ポート・フォワーディング」と呼ばれる機能で、アドレス変換テーブルを「静的」に、つまり手動で設定するものだ。これを設定しておくと、WAN側から特定のIPアドレス/ポートに対してパケットが送信された場合、ブロードバンド・ルータは静的なアドレス変換テーブルの内容に従って、そのパケットをLAN側の特定のIPアドレス/ポートあてに転送する。この機能の名称はメーカーによって異なり、「ローカルサーバ」「仮想(バーチャル)サーバ」「静的NAT」「SUA(Single User Account)サーバ」「アドレス変換テーブルの追加」などと呼ばれる。多くのブロードバンド・ルータは、ポート・フォワーディング機能を装備している。
もう1つの機能は、「DMZ」*1と呼ばれるもので、動的あるいは静的な全アドレス/ポート変換テーブルに該当しないポートに対してWAN側から送信された全パケットを、LAN側の特定のIPアドレスあてに転送する、というものだ。これも別名として「バーチャル・コンピュータ」「バーチャル・サーバ」などがある。ポート・フォワーディングに比べると、DMZ機能を持つブロードバンド・ルータは少ない。
| *1 本来「DMZ(DeMilitarized Zone:非武装地帯)」とは、インターネットとイントラネットの間に確保される、公開サーバなどを設置するためのネットワーク領域を指す。DMZを用意すると、ファイアウォールでイントラネットを防御して安全を確保しつつ、インターネットに対してサーバを公開しやすい。なお、本稿における「DMZ」とは、サーバの公開などに利用されるパケット転送機能の1種を指しており、本来の「DMZ」とは異なることに注意していただきたい。 |
 |
| ポート・フォワーディングとDMZの動作原理 |
| 図中にある2本の赤い矢印線のうち、上がポート・フォワーディング、下がDMZによるパケットの流れを表している。どちらもWAN側からのパケットを特定のLAN側ノードに転送するという点では共通の機能だ。ポート・フォワーディングでは、特定のポートで通信する公開サーバの設置によく利用される。DMZでは、アドレス変換に該当しないポート番号(図中の「nnnnn」はこれを意味する)へのパケットはすべて特定のPCに転送されるため、使用ポートが固定されていないアプリケーションで有用だ。 |
ポート・フォワーディングの設定
ポート・フォワーディングが有効なのは、通信に使用されるポートが特定できる公開サーバやネットワーク・アプリケーションを利用する場合だ。例えば、Webサーバをインターネットに公開する場合、そのプロトコルHTTPが使うのは一般的にTCPのポート80番なので、上図のようにWebサーバをLANに接続し、ブロードバンド・ルータにて80番ポートへのアクセスをそのWebサーバのIPアドレスへ転送するように設定すればよい。以下の画面は、BLR-TX4でその設定を行った後のものだ。
 |
||||||||||||
| BLR-TX4のポート・フォワーディング設定メニュー | ||||||||||||
| ほかの機能と同様、BLR-TX4のポート・フォワーディングも設定項目は多く、細かい設定が可能だ。 | ||||||||||||
|
ポート・フォワーディングの設定のポイントは、設定可能な静的アドレス変換テーブルの最大数と、ポート番号の範囲指定である。製品によっては、設定可能な変換テーブル数は5個以下しかない場合もあるので、公開するサーバの数が多い場合には注意したい。また、ポート番号の範囲指定ができないと、複数のポートを利用するサーバ(例えばftpサーバはTCPのポート20番と21番を利用する)の場合、ポートごとに変換テーブル数を設定しなければならず、設定が面倒である(もちろんテーブル数も無駄に消費される)。
DMZの設定
DMZは、使用されるポート番号が不明あるいは動的に変動したり、ポート数が多すぎたりする場合に有効な機能だ。WAN側で受信されたパケットのうち、IPマスカレードやポート・フォワーディングによりLAN側に転送されるパケットを除いた分は、DMZで設定されたLAN側ノードにすべて転送される。DMZは、簡単にいうと、WAN側で受信したパケットのデフォルトの転送先を設定する機能といえる(DMZを設定しない場合、パケットはデフォルトで破棄される)。
 |
||||||
| DMZの設定メニュー | ||||||
| ポート・フォワーディングに比べると、DMZの設定はパケットを転送するLAN側IPアドレスを指定するだけなので単純だ。 | ||||||
|
DMZが必要になる例としては、マイクロソフトのNetMeetingなどのカンファレンシング・ソフトウェアが挙げられる。NetMeetingは広い範囲で動的にポートを変えながら通信を行うため、ポートを静的に決めるポート・フォワーディングでは対応できない。しかしDMZで転送先に設定されたPCなら、通信可能だ。
転送先ノードは1つに限られるので、DMZを利用できるのは1台のPCだけだ。複数のPCでDMZは利用できない。そのせいもあって、DMZの設定方法は、上記画面のように、転送先のIPアドレスを設定するだけと単純である製品が多い。
ポート・フォワーディングやDMZの注意点
ポート・フォワーディングもDMZも、その原理のため、注意すべきことがいくつかある。1つは、転送先ノードのIPアドレスを直接設定する必要があるため、何らかの方法で転送先ノードのIPアドレスを固定的に割り当てなければならない点だ。前述したDHCPの機能である静的なIPアドレスの割り当て機能か、手動割り当てを利用する必要がある。
もう1つの注意点は、転送先に設定されたPCはWAN側すなわちインターネット側からのアクセスにさらされるため、セキュリティは通常のLAN側PCに比べてもろくなることだ。通常はIPマスカレードによりインターネット側からのアクセスはほとんど遮断されるが、ポート・フォワーディングやDMZは、IPマスカレードによる防護壁に「穴」を開ける行為といえる。特にDMZは広い範囲でアクセスを受け付けてしまうので、後述のパケット・フィルタリングなどIPマスカレード以外のセキュリティ対策機能が必要になる。あるいは、重要なデータはDMZの転送先PCに保存しないなどといった対策をすべきだろう。
| 関連記事(PC Insider内) | |
| ネットワーク・デバイス教科書:第1回 広帯域インターネット接続を便利に使う「ブロードバンド・ルータ」 | |
| ネットワーク・デバイス教科書:第12回 ブロードバンド・ルータの基本設定 | |
| 新世代ブロードバンド・ルータの性能を検証する | |
| ビギナー管理者のためのブロードバンド・ルータ・セキュリティ講座 | |
| ウイルスを遮断できるブロードバンド・ルータ「GateLock X200」 | |
| 関連リンク | |
| メルコ製BLR-TX4の動作実績情報 | |
| ゼロ円でできるブロードバンド・ルータ 2 1FD Linuxで作る高機能ルータ [インストール編] |
|
| ゼロ円でできるブロードバンド・ルータ 2 1FD Linuxで作る高機能ルータ [設定・運用編] |
|
 |
 |
| INDEX | ||
| [特集]ブロードバンド・ルータ徹底攻略ガイド | ||
| 1.LAN側ノードのIPアドレス管理 | ||
| 2.WAN側IPアドレスの管理 | ||
| 3.IPアドレス/ポート変換機能−IPマスカレード/NAT− | ||
 |
4.IPアドレス/ポート変換機能−ポート・フォワーディングとDMZ− | |
| 5.セキュリティ対策の機能 | ||
| 6.そのほかの機能について | ||
 |
||
 |
「PC Insiderの特集」 |
- Intelと互換プロセッサとの戦いの歴史を振り返る (2017/6/28)
Intelのx86が誕生して約40年たつという。x86プロセッサは、互換プロセッサとの戦いでもあった。その歴史を簡単に振り返ってみよう - 第204回 人工知能がFPGAに恋する理由 (2017/5/25)
最近、人工知能(AI)のアクセラレータとしてFPGAを活用する動きがある。なぜCPUやGPUに加えて、FPGAが人工知能に活用されるのだろうか。その理由は? - IoT実用化への号砲は鳴った (2017/4/27)
スタートの号砲が鳴ったようだ。多くのベンダーからIoTを使った実証実験の発表が相次いでいる。あと半年もすれば、実用化へのゴールも見えてくるのだろうか? - スパコンの新しい潮流は人工知能にあり? (2017/3/29)
スパコン関連の発表が続いている。多くが「人工知能」をターゲットにしているようだ。人工知能向けのスパコンとはどのようなものなのか、最近の発表から見ていこう
 |
|
|
|
|
