|
プライベートIPアドレスを使うためのしくみ
NAT(Network Address Translation)
プロバイダーからもらったグローバルIPアドレスを、ブロードバンドルーターによりLANセグメント(この場合はあなたの家庭内のネットワークのことです)の中のパソコンなどに割り当てられたプライベートIPアドレスに変換する仕組み。
NATルーターには複数のパソコンを接続できます。でもルーターの外に接続しようとするとき、NATを利用できるパソコンは一度に1台だけなので、これでは役不足なのです。
NATルーターには複数のパソコンを接続できます。でもルーターの外に接続しようとするとき、NATを利用できるパソコンは一度に1台だけなので、これでは役不足なのです。
でも実際にNATだけのルーターを使ったことがないので、よくわかりません・・・
そしてIPマスカレードなのに、説明書にNAT機能と書かれている機種が多いみたいです。
そしてIPマスカレードなのに、説明書にNAT機能と書かれている機種が多いみたいです。
IPマスカレード(Internet Protocol Masquerade)・NAPT(Network Address Port Translation)
NATでは、外部に接続できるパソコンは一度に1台だけでした。このIPマスカレードは一度に複数のパソコンからWEB(みなさんはインターネットとよく呼びます)にアクセスできます。
IPマスカレードは、プロバイダーからもらった(リースと呼びます)グローバルIPアドレスを、LANセグメント内部の複数のパソコンでうまく利用するための仕組みです。LANセグメント内部の異なるパソコンからの異なるセッションへ、ルーターはそれぞれ違うポートを利用してサーバーと通信します。
LANセグメント内部に接続されているパソコンから、Webページを見るとしますね。
パソコンからの接続があったとき、パソコンとWEBサーバーとのコネクションを作るために、ルーターが変換テーブル(IPアドレスとポート番号の組み合わせ)を作成します(この変換テーブルをNATテーブル、アドレス変換テーブルなとど呼ぶことがあります)。
これによりWAN側(インターネット側、あなたの家の外)からは、一つのグローバルIPアドレスで接続しているように見えるでしょう。
このときにはグローバルIPアドレスはブロードバンドルーターのWAN側に使われます。ブロードバンドルーターのLAN側コネクタには、LANで使われているゲートウェイとなるプライベートIPアドレスが使われるでしょう。
変換テーブルは通常、いつまでも維持されるものではありません。通信が切断されたあとには消されてしまうでしょう。
そしてブロードバンドルーターのIPマスカレード機能は、Port番号を動的(Dynamic)に変化させます。時間が経ってからまた同じサーバーへ接続するときには、IPアドレスとポートの組み合わせを変えてしまうかもしれません。そのためオンラインゲームで遊んでいるときに、頻繁に接続が切れてしまうかもしれません。
IPマスカレードは、プロバイダーからもらった(リースと呼びます)グローバルIPアドレスを、LANセグメント内部の複数のパソコンでうまく利用するための仕組みです。LANセグメント内部の異なるパソコンからの異なるセッションへ、ルーターはそれぞれ違うポートを利用してサーバーと通信します。
LANセグメント内部に接続されているパソコンから、Webページを見るとしますね。
パソコンからの接続があったとき、パソコンとWEBサーバーとのコネクションを作るために、ルーターが変換テーブル(IPアドレスとポート番号の組み合わせ)を作成します(この変換テーブルをNATテーブル、アドレス変換テーブルなとど呼ぶことがあります)。
これによりWAN側(インターネット側、あなたの家の外)からは、一つのグローバルIPアドレスで接続しているように見えるでしょう。
このときにはグローバルIPアドレスはブロードバンドルーターのWAN側に使われます。ブロードバンドルーターのLAN側コネクタには、LANで使われているゲートウェイとなるプライベートIPアドレスが使われるでしょう。
変換テーブルは通常、いつまでも維持されるものではありません。通信が切断されたあとには消されてしまうでしょう。
そしてブロードバンドルーターのIPマスカレード機能は、Port番号を動的(Dynamic)に変化させます。時間が経ってからまた同じサーバーへ接続するときには、IPアドレスとポートの組み合わせを変えてしまうかもしれません。そのためオンラインゲームで遊んでいるときに、頻繁に接続が切れてしまうかもしれません。
静的(Static)IPマスカレード
グローバルIPアドレスとプライベートIPアドレスのポートの対応を、動的(Dynamic)な組み合わせではなく、固定された組み合わせに設定するためのものです。
身近な例として、オンラインネットゲームの利用者のひとが利用します。
長時間ゲームで遊んでいると、ルーターがWAN側でOPENするポートが変わってしまうことがあります。このときオンラインゲームではサーバーとの接続が切れてしまいます。静的(Static)IPマスカレードなら長時間ずっと接続できるかもしれません。
身近な例として、オンラインネットゲームの利用者のひとが利用します。
長時間ゲームで遊んでいると、ルーターがWAN側でOPENするポートが変わってしまうことがあります。このときオンラインゲームではサーバーとの接続が切れてしまいます。静的(Static)IPマスカレードなら長時間ずっと接続できるかもしれません。
NAT・IPマスカレードをつかうと、セキュリティが向上する理由
NATとIPマスカレードは、一つのグローバルIP addressをうまく有効利用するために開発された技術です。IPv4でのIP
address枯渇問題はこれで回避できましたけど、本来予想されていなかった有用な効果、「外部から(プライベートIPアドレスを利用している)LANセグメント内部のパソコンに対する、意図しない形のアクセスを防ぐことができる」ことにより、セキュリティの観点から多大な効果を発揮します。
LAN内部からWEBページ(このTef Roomなど)の閲覧は自由にできるのは、ルーターが変換テーブルを作成するからです。
でもセッションができていないのに外部から一方的に送られてきたトラフィックは、ルーター上でのグローバルIPアドレス・プライベートIPアドレス・ポート番号の変換テーブルには記載されていないません。だからルーターまでしか届かず、LAN内部へは送られずにルーターが破棄してしまいます。
このため外部からのトラフィックがLANのパソコンに転送されずに、ブロードバンドルーターが盾になって外部からのアクセスを防いでくれるのです。
LAN内部からWEBページ(このTef Roomなど)の閲覧は自由にできるのは、ルーターが変換テーブルを作成するからです。
でもセッションができていないのに外部から一方的に送られてきたトラフィックは、ルーター上でのグローバルIPアドレス・プライベートIPアドレス・ポート番号の変換テーブルには記載されていないません。だからルーターまでしか届かず、LAN内部へは送られずにルーターが破棄してしまいます。
このため外部からのトラフィックがLANのパソコンに転送されずに、ブロードバンドルーターが盾になって外部からのアクセスを防いでくれるのです。
そのほかのルーティングのしくみ
ポートフォワーディング(port forwarding)
あなたが利用しているブロードバンドルーターのある指定されたポート宛のトラフィックを、LAN内部の(プライベートIPアドレスを利用している)指定したパソコンの指定したポートに転送する仕組み。
アドレス変換テーブルを個別に設定する必要があります。
指定していないポート宛のトラフィックは、WAN側からLANセグメント内部のパソコンには転送されないでしょう。WEBサーバーを公開したいけど他のポートへのトラフィックを防止したいときなどに利用します。
名称はポートフォワーディングであっても、ICMPなどのポートを利用しないプロトコルを転送するように設定できるブロードバンドルーターも販売されています。
アドレス変換テーブルを個別に設定する必要があります。
指定していないポート宛のトラフィックは、WAN側からLANセグメント内部のパソコンには転送されないでしょう。WEBサーバーを公開したいけど他のポートへのトラフィックを防止したいときなどに利用します。
名称はポートフォワーディングであっても、ICMPなどのポートを利用しないプロトコルを転送するように設定できるブロードバンドルーターも販売されています。
[注意]
ポートフォワーディング機能は、ブロードバンドルーターの機種によっては異なる名称になっています。
説明書をよく読んで、どのような名称なのか確かめてください。
ポートフォワーディング機能は、ブロードバンドルーターの機種によっては異なる名称になっています。
説明書をよく読んで、どのような名称なのか確かめてください。
IPフォワーディング(IP forwarding)
ある宛先のパケットを別の宛先に転送する仕組み。
これはWAN側(あなたの家庭内LANの外部、ルーターの外側)からのトラフィックのうち、NATの変換テーブルに無い(つまりLAN側からの送信に対する返事ではない)トラフィックを全て、LAN内部の特定のIPアドレスを使うホストに転送する仕組みです。
あなたが利用しているブロードバンドルーターが使っているグローバルIPアドレス宛のトラフィックを、LAN内部のホストへ転送する機能です。
ポートフォワーディング機能では対応できない場合、例えばあるパソコンで複数のサービスのサーバーを立ち上げていて、それを公開しているときなどに利用します。または利用するポートの番号が動的(どれになるのか予想できない)な場合や、外部から送られてくるトラフィックをLANセグメント内部の特定のパソコンに全て転送するときに利用します。
転送先になるLAN内部のパソコンは、1台のみに限定されます。
このままでは転送先のパソコンへ外部からいくらでも接続できてしまうので、セキュリティ的には望ましくない状況になるかもしれません。特別の理由がないなら、ポートフォワーディング機能を使うようにおすすめします。
もしIPフォワーディングを利用するなら、パーソナルファイアーウォールなどの対策を考えるべきです。
IPフォワーディング機能も、メーカーや機種によって異なる名称で呼ばれています。厳密にはDMZとは全く別のものです、注意してくださいね。
DMZ機能(Kyocera)
DMZホスト機能(RTA55i 活用マニュアル137p)
簡易DMZ(De-military Zone)機能
これはWAN側(あなたの家庭内LANの外部、ルーターの外側)からのトラフィックのうち、NATの変換テーブルに無い(つまりLAN側からの送信に対する返事ではない)トラフィックを全て、LAN内部の特定のIPアドレスを使うホストに転送する仕組みです。
あなたが利用しているブロードバンドルーターが使っているグローバルIPアドレス宛のトラフィックを、LAN内部のホストへ転送する機能です。
ポートフォワーディング機能では対応できない場合、例えばあるパソコンで複数のサービスのサーバーを立ち上げていて、それを公開しているときなどに利用します。または利用するポートの番号が動的(どれになるのか予想できない)な場合や、外部から送られてくるトラフィックをLANセグメント内部の特定のパソコンに全て転送するときに利用します。
転送先になるLAN内部のパソコンは、1台のみに限定されます。
このままでは転送先のパソコンへ外部からいくらでも接続できてしまうので、セキュリティ的には望ましくない状況になるかもしれません。特別の理由がないなら、ポートフォワーディング機能を使うようにおすすめします。
もしIPフォワーディングを利用するなら、パーソナルファイアーウォールなどの対策を考えるべきです。
IPフォワーディング機能も、メーカーや機種によって異なる名称で呼ばれています。厳密にはDMZとは全く別のものです、注意してくださいね。
DMZ機能(Kyocera)
DMZホスト機能(RTA55i 活用マニュアル137p)
簡易DMZ(De-military Zone)機能
GapNAT(Global Address Ploxy with Network Address Translation)
外部からの接続要求をLAN内部のホストへ転送する点では、IPフォワーディングに似ているかもしれません。
GapNATはLANセグメント内部のホストにグローバルIPアドレスを直接割り当てる機能です。GapNATでグローバルIPアドレスを利用しているパソコンからは、ルーターに接続している他のパソコン(プライベートIPアドレスを利用)とはアドレス空間が違うので、ルーターで個別に設定しなければ通信できません。
LAN内部の複数のパソコンにグローバルIPアドレスを割り当てる、マルチGapNAT機能を搭載した機種もあります。
GapNATはLANセグメント内部のホストにグローバルIPアドレスを直接割り当てる機能です。GapNATでグローバルIPアドレスを利用しているパソコンからは、ルーターに接続している他のパソコン(プライベートIPアドレスを利用)とはアドレス空間が違うので、ルーターで個別に設定しなければ通信できません。
LAN内部の複数のパソコンにグローバルIPアドレスを割り当てる、マルチGapNAT機能を搭載した機種もあります。