- ベストアンサー
ルータからポートフォワーディングをしていないマシン上WEBサーバへのアクセス
質問させて頂きます。よろしくお願い致します。 192.168.1.254 がデフォルトゲートウェイ(ルータ)。 以下6台、すべてのマシンが固定IP(非DHCP)で、 192.168.1.1 ~ 192.168.1.6 というネットワーク構成です。 192.168.1.4:80で、WEBサーバを動かしています。 内部(ローカルエリア)からのみ使用する、自作WEBアプリを動作させるためです。 外部者に使われては困るWEBアプリを動作させているので、 万が一にも、外部からアクセスされては困る、という状況です。 デフォルトゲートウェイのルータには、 「外部からの80番ポートへのアクセスは、192.168.1.4へ流す」という、 いわゆるポートフォワーディングの設定は、していません。 なので、グローバルIPアドレスをブラウザのURL入力欄に入力しても、 一応は、WEBサーバへはアクセス出来ていないように見えます… そこで、質問は、 外部から、192.168.1.4上のWEBサーバ(80番ポート)へのアクセスは、 本当にこれだけで不可能と考えてよいのか? ということです。 言い換えれば、ルータにポートフォワーディングの設定をしていないだけで、 外部から192.168.1.4へのアクセスは、 本当にすべて遮断できていると考えてよいのか? ということです。 ルータからの道筋がないわけですから、 単純に考えたらこれだけでも大丈夫のように思えるのですが、 自身のネットワークの知識は、粗末なものである為、 不安に駆られ、質問させて頂いた次第です。 初歩的かもしれませんが、ご教授下さい。 何卒、よろしくお願い致します。
- yuzupikata
- お礼率90% (18/20)
- ネットワーク
- 回答数3
- ありがとう数22
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
今回のご質問の範囲であるなら、ポートフォワーディングの機能を使う必要はないと思います。 したがって、 ・ ポートフォワーディングの設定をしない もしくは ・ ポートフォワーディングの機能をオフに設定する のどちらかで、ポートフォワーディングの機能を悪用した外部からのアクセスは原理的に防げます。 ただし、「外部からアクセスできないようにしたい」ということであれば、サーバから外部に接続することを禁止しないと完全にはなりません。サーバが自ら外部にアクセスしてしまえば、それを逆流させてサーバに侵入することが理論上は可能になります。ですので、多くの前提条件が満たされないと可能性を完全につぶすことができません。なお、この侵入経路はポートフォワーディングとは関係ありません。 ポートフォワーディングは今回使う必要がない機能ですが、残念ながら機能を誤解しているように読み取れます。使わないと誓って勉強しないか、使う機会に備えて勉強するか、どちらかをお勧めします。 セキュリティというのは、システム全体での総合勝負です。ルータの設定さえまちがえなければ完璧、とか、パソコンにファイアウォールがあるから安心、とか、ウイルスソフトを入れてるからOK、というようなものではありません。もちろん、運用する人の些細な操作(たとえば、外部の Web にアクセスする、というような)からほころぶこともあります。セキュリティの向上が利便性と相反する場合もありますし、コスト面を犠牲にしても採用しなくてはならない場合もあります。細部にとらわれすぎることなく、また、細部までおろそかにすることなく、システムの構築をするよう努力してください。
その他の回答 (2)
- insider007
- ベストアンサー率26% (61/231)
フォワーディングをしていないなら、もちろんOKです。 どうしても不安なら、WEBマシン自体のFIREWALLをローカルネットのみにしたらいいでしょう。 そうすれば万が一DMZ設定してしまっても安心です。
お礼
庶民的感覚でいうなら、ルータのポートフォワーディング機能を、 ある程度は信頼しても良さそうですね。 WEBマシンのFIREWALLをローカルネットのみに設定するというアドバイスも、 ありがたく頂戴したいと思います。 ありがとうございました。
- GOOD-Fr
- ベストアンサー率32% (83/256)
質問がおかしいですね。 > 言い換えれば この前後の文章は意味が異なります。ですから、言い換えることはできません。 > 外部から、192.168.1.4上のWEBサーバ(80番ポート)へのアクセスは、 このサーバがウイルスにおかされてなくて、操作をする人が不適切な操作をせず、ルータは外部から攻撃を受けていなくて、ルータの設定に不適切な項目はない、などの条件を満たした上で、という前提条件があるならば、アクセスできないでしょう。 > 外部から192.168.1.4へのアクセスは、本当にすべて遮断できている それは意味がまったく異なります。 アドレスから考えて NAT を使っているわけですから、「外部から192.168.1.4へのアクセスができない」ということは「192.168.1.4 は外部と一切の通信が行なえない」という意味になります。それでよいのであれば、ルータがうんぬんという以前に外部ネットワークと物理的に切り離したほうが確実ですし簡単だと思います。費用もかかりませんし、心配事も根本的になくなります。 セキュリティ面から考えれば、ポートフォワーディングという機能自体がそもそも「失格」です。企業向けのルータやプロバイダ向けのルータには、ポートフォワーディングの機能がないのが普通です。機能があること自体で悪用/誤用される可能性が生まれますから、セキュリティを本気で気にするのであれば、まずはルータをちゃんとしたものに交換したほうがよいでしょう。
お礼
>この前後の文章は意味が異なります。ですから、言い換えることはできません。 これは書き方が悪く、混乱を招き、大変失礼しました。 言い換えた前後の文の、前側が、正しい質問文になります。 なお後側についてですが、 192.168.1.4のWEBサーバへは、他5台のローカルマシンから、アクセス出来る必要があります。 しかしながら、他5台のローカルマシンは、外部と通信出来なくては困るのです。 そして、ご指摘の通り、グローバルIPアドレスは1つ限りを、NATで使いまわしているという状況です。 よって、192.168.1.4を、外部から物理的に完全に切り離すことは、出来ない気がしますが、 (結局はLANですべてつながってしまうため) もし上記状況下で、そのようなことが可能であるならば、 方法をご教授願えればと存じます。 ポートフォワーディングについてですが、 http://oshiete1.goo.ne.jp/qa4226660.html こちら方の、便乗質問への回答もあわせてみることで、理解が深まりました。 (便乗して質問して下さった方にも、感謝致します。ありがとうございます。) ポートフォワーディングをつかわない、ということは、 アクセスされたポート番号によってマシンを変えることはしない、ということだと思いますので、 つまり、グローバルIPアドレスとマシンが、一対一で直通するということになるかと思います。 セキュリティを高めるために、コストをかけられる状況であれば、 サーバマシンの数だけグローバルIPアドレスを用意し、ポートフォワーディングに代えたほうがよい… ということだと解釈しましたが、もし間違っていれば、またご指摘下さるとありがたく存じます。 なお、上述の192.168.1.4マシンには、ご想像の通りとは思いますが、 金額にしてせいぜい数万円になるかならないかというデータが入っている程度です。 セキュリティを高めるためにかけられるコストも少ないので、 こうした状況下でポートフォワーディングが「あり」か「なし」かでいえば、 総合的に考えて「あり」になるのかな、と思いました。 しかしながら、ポートフォワーディングがいわゆる「貧乏ソリューション」で、 セキュリティというものを突き詰めたときには、使われない程度の信頼度であるということは、理解致しました。 丁寧に答えて下さり、まことにありがとうございました。
関連するQ&A
- ポートフォワーディング+ブリッジ接続
倉庫の中でE-mobileのポケットWifiルーター D25H === デスクトップPC === ネットワークカメラ というようにつながっています.デスクトップPCは無線アダプターでD25Hとつながっており,IPアドレスは192.168.1.1(D25H) 192.168.1.2(PC)です.一方で,このデスクトップPCは有線のイーサネットアダプターを介してネットワークカメラにつながっており,それぞれのIPアドレスは192.168.0.1(PC) と 192.168.0.2(カメラ)としています. 問題は,このようなLAN環境に外部から入り込み,ネットワークカメラにアクセスすることは可能かということです.デスクトップPCにアクセスするには,D25Hのポートフォワーディングで,例えばポート番号80で192.168.1.2にアクセスするようにすれば実現できると思います.しかし,ネットワークカメラとD25Hは同じネットワーク環境に居るわけではなく,192.168.0.2というIPアドレスですので,ポートフォワーディングではアクセスできないと思います. 192.168.0.x系(有線系)と192.168.1.x系(無線系)をデスクトップPCでブリッジ接続し,ポートフォワーディングさせることは可能なのでしょうか? それとも,もっと便利でよい方法があるでしょうか 具体的には,ネットワークカメラから外部のFTPサーバーに定時画像を定期的に送信するようなことを実現したいと考えています.
- 締切済み
- ネットワーク
- Webサービスを提供するポートについて
Webサービスを提供するポートについて質問です。 セキュリティに関係する事項ですので、こちらで質問させていただきます。 ルータのNAPT機能を用いて、LAN内にあるWebサーバに外部からのアクセスを通し、外部→内部方向について、ルータは80番ポートのみを開放し、他のポートはすべて遮断します。 ここで、 (1)Webサービスを80番ポートで提供する。(ルータは外部から80番へ来たアクセスをWebサーバの80番ポートへ転送) (2)Webサービスを80番ポート以外(例えば8080番)で提供する。(ルータは外部から80番へ来たアクセスをWebサーバの8080番ポートへ転送) 両者におけるセキュリティ面での具体的な違いを知りたいと思います。ご教授下さい。
- 締切済み
- ネットワーク
- F660Tでポートフォワーディング不能
こんにちは 現在、NURO光回線契約中です。 簡単なサーバプログラムをかいたので実験したく、自宅のサーバ (RPi3+Raspbian Buster)置いて、ポートフォワーディングを設定してみたのですが 外部からアクセスできません。 自宅サーバのIPアドレスは固定して、manual_ZXHNF660T.pdfを見ながら設定しました。 ローカルからは問題なくアクセスできているのに、外部からだとアクセスできません。 試しに、別のWindowsPCにBlackJamboDogをインストールし、このPCのIPアドレスも 固定して、ポートフォワーディング設定しましたが、やはり外部からアクセスできません。 F660TルータのファームウェアはV1.0.0P14T1です。 どなたか、正しい設定方法や、解決のヒント等、ご存知でしたら教えていただけませんか? よろしくおねがいします ※OKWAVEより補足:「So-netの各種設定」についての質問です。
- ベストアンサー
- その他(インターネット・Webサービス)
- WEBサーバを2台立てる際のポートフォワーディグ
LAN内に複数台(2台)のWEBサーバを立てて外部からアクセスさせる場合の ルータのポートフォワーディング(アドレス変換)について。 ※グローバルIPアドレスはルータのWAN側に1個だけ付与されているとします。 以下の図のように ルータの80ポートに着信があったらサーバAの80ポートにポートフォワーディング。 ルータの8080ポートに着信があったらサーバBの80ポートにポートフォワーディング。 という具合に、ルータ側で着信ポートによってアドレス変換(ポート変換)させるしかないのでしょうか? ※つまりクライアント側に8080を指定してもらう。 これをTCP80でアクセスしたときに、こちらはサーバA こちらはサーバBへと 分けるためには、グローバルIPアドレスがもう1個いるという問題になるのでしょうか? クライアントA→TCP(80) → 【ルータ】→【サーバA:80ポート】+【サーバB:80ポート】 クライアントB→TCP(8080) 説明が下手ですいません。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- サーバにアクセスできません
CentOS5 Appach2でwebサーバを立ち上げましたが、外部からアクセスできません。原因、対処方法についてご教示ください。 ftpサーバにはアクセスできるのですが、httpではアクセスできず、エラーメッセージ(The requested URL could not be retrieved (113) No route to host)が表示されます。 ネット環境は、フレッツ光ホームタイプ、NTT貸与のV110ルータ、固定IP (219.117.xxx.xx/32)、ドメイン取得済み ISP:インターリンクです。 ping、dig、nslookupはそれぞれOKで、名前解決も問題なさそうです。 ポートフォワーディング(V110で言うところの静的NAPT)も行い、80ポートを開放しているはずなのですが・・・ その他の症状として、 ホスト機で、固定IPにアクセスすすると、ルーターの設定画面にアクセスしてしまいます。(192.168.1.1=LAN側ゲートウェイ) また、内部クライアントからもhttpではアクセスできない状態です。 (それぞれwebにはアクセスできますし、pingもOKです。) どうぞよろしくお願いいたします
- ベストアンサー
- ハードウェア・サーバー
- ポート番号の変更;フォワーディング
現在DDNSにて外部から宅内の機器へアクセスを受け付けております。 本来ポートフォワーディングにて簡単にできる設定ですが、LAN内に設定している機器のポート番号が80番から変更するのは一さか面倒なので戸惑っております。 したいこと: 外からhttp://gaibu.ddo.jp:1234 へアクセスした場合、 LAN内の機器のhttp://192.168.0.200:80へアクセスするようにしたいと思っております。 使用しているルーターの機種は、Aterm BL190HWになります。 http://www.au.kddi.com/support/internet/guide/modem/gateway-04/ 上記ルーターを使用してできるものでしょうか? または、Windows XP/7/8に付属の機能を使用して行えるものでしょうか? 内部機器のポートを80番から他のポートへ変更はできるのですが、自分が物理的にそこへ行けなくてはいけないのと、なぜかたまに勝手にリセットがかかり、ポート番号が80番へ戻ってしまうため上記方法で解決できるか教えて頂きたいと思っております。 ネットワークの基礎的な部分かもしれませんが、ご教授お願いします。
- 締切済み
- ネットワーク
- ポートフォワーディング
WIMAXを使っています。http://10.84.129.252/ はWANでぼくのIPです。URoad Home 2+ポートフォワーディングを使いたいんです。しかし、UQはまた別のルーターをつかています。度やってhttp://10.84.129.252/にルグインしてDMZを設定できるでしょうか。 ※OKWAVEより補足:「UQ WiMAX」についての質問です。
- ベストアンサー
- Wi-Fi・無線LAN
- centos webサーバー IPアドレス
自宅にてcentosでwebサーバーを構築しようとしているものです。 ローカルエリア1{ 【サーバーPC】 プライベートIPアドレス 192.168.0.1 サブネットマスク 255.255.255.0 【クライアントPC1】 プライベートIPアドレス 192.168.0.2 サブネットマスク 255.255.255.0 【ルーター1】 デフォルトゲートウェイ 192.168.0.1 グローバルIPアドレス 150.100.50.1 macアドレス 32:61:3C:4E:B6:01 ポート80番開放 } ~ ワイドエリア ~ ローカルエリア2{ 【クライアントPC2】 プライベートIPアドレス 192.168.0.1 サブネットマスク 255.255.255.0 【ルーター2】(ルーターの必要はないと思いますが説明のため。) デフォルトゲートウェイ 192.168.0.1 グローバルIPアドレス 150.100.50.2 macアドレス 32:61:3C:4E:B6:02 ポート開放なし } このような環境があった場合… (1) 【クライアントPC2】が【サーバーPC】にアクセスしたいとき。 【クライアントPC2】がブラウザにURIを入力すると、【クライアントPC2】のデフォルトゲートウェイの設定を頼りに【ルーター2】を発見し、【ルーター2】に繋ぎ、そこでプライベートIPアドレスをグローバルIPアドレスに変換し、ワイドエリアへ…。そしてDNSサーバーなどで名前解決などを経て、【ルーター1】のグローバルIPアドレスを頼りに【ルーター1】を見つけ、ポート80番があいているので、さらにそこから【サーバーPC】のプライベートIPアドレスを頼りに【サーバーPC】へアクセス…という流れで間違いないでしょうか? (2) 【クライアントPC1】が【サーバーPC】にアクセスしたいとき。 プライベートIPアドレスを指定すればアクセスできると思いますが、グローバルIPアドレスを指定して(URI)を指定してアクセスする場合はどのような経由になるでしょうか?【ルーター1】を出て、DNSサーバーで名前解決を行った後、再度【ルーター1】に戻ってきてから、プライベートIPアドレスでアクセスする…という流れでしょうか? (3) 現在、上記のローカルエリア1のような環境なのですが、外部PCからは自宅サーバーにURI指定でアクセスできるが、自宅のクライアント側PCからサーバーにアクセスするさいには、URIではアクセスできずプライベートIPアドレスでないとアクセスできません。どのような設定をすれば、URI指定でもアクセスできるようになるのでしょうか? 環境は、 クライアントPC→windowsXPhomeedition サーバーPX→centos5 です。 (1)~(3)に関して、必要のない設定等ありましたら訂正を、間違い等ありましたら指摘をお願いできますでしょうか?
- ベストアンサー
- ハードウェア・サーバー
- グローバルIPアドレスが1つしかないルータの内側にWebサーバーが2台
グローバルIPアドレスが1つしかないルータの内側にWebサーバーが2台あります。どちらも80番ポートでアクセスできるように設定するにはどうしたら良いでしょうか。
- ベストアンサー
- その他(ITシステム運用・管理)
- 自宅サーバーポート開放
Linuxで自宅サーバーを作っています windows7にVMwarePlayerでCentosを仮想マシンで動かしています。 VMwareのネットワーク設定はbridgeにしてあります。 centosのファイアウォールは無効にしてあります。 apacheを使っております。 ローカルでは他のPCからアクセスできます。 つまずいているのは外部からのアクセスです。 外部から80番ポートの要求があった場合、Linuxターミナルのifconfigコマンドで確認した、192.168.~~のipアドレスに飛ぶようにしたいです。 それが出来れば外部からアクセスできる・・・はずですよね? なのでルーターの設定をいじりました。ルーターはNTTのPR-S300NEです。ファームウェアバージョン は5.25です。 静的IPマスカレード設定で、 変換対象プロトコルはTCP、変換対象ポートは80番(www)、宛先アドレスは192.168.~~、宛先ポートは80番(www) となっております。 設定を変更し、保存したあと、外部(友人の家や、iPhoneの3G回線)からアクセスしようとすると見つかりません、となってしまいます。 Windowsのファイアウォールも一応無効にしてみましたがダメでした。 何が・・一体何が・・・。 正直お手上げです・・・。 心が・・挫けそうです・・。 私は一体・・・。 どなたかWindows上でLinux仮想マシンで外部からアクセスできるWebサーバー作った経験があるかたや詳しい方、どこがおかしいか心当たりがおありの方教えてください・・お願いしますm(_ _)m
- ベストアンサー
- その他(インターネット接続・通信)
お礼
WEBサーバのマシンからも、普通に外部にアクセスをしていました。 その行為が、外部からの進入経路になり得る行為だったとは、全く知りませんでした… 今後、控えたいと思います。ありがとうございました。 実は、現在は、本件のローカルWEBサーバを稼動させているだけなのですが、 近い将来、楽しみと実益を兼ねて、外部に公開するWEBサーバを稼動させることを夢みています。 ゆるい気持ちでやると惨事になりかねないこととは、理解しているつもりですので、 ひとまずしばらく、ネットワークやセキュリティについて、勉強しようと思います。 (なので、ポートフォワーディングについても、使う機会に備えてちゃんと勉強しておこうと思います。) セキュリティの世界に、細部は無限にありそうですが、それも決しておろそかにすることなく、 とりあえずは、大きな部分から、精進して参りたいと思います。 また質問することがあれば、そのときは何卒、よろしくお願い致します。 ありがとうございました。