• ベストアンサー

プライベートネットワーク内PCがグローバルIPを知る方法

市販のBBルータで、WAN側はプロバイダから配られたIPとして、LAN側はクラスCのプライベートネットワークを設定しそれに接続したPCがあるとします。 この時プライベート側のPCがWAN側のIPを知る方法はどのようなものがあるでしょうか。 ネットワークツールを利用すると簡単に分かるわけですが、実際ソフト・ハードのどれが答えてるのかとても気になります。 (というか、パケットに内包されているのでしょうか・・・) よろしくお願いいたします。

質問者が選んだベストアンサー

  • ベストアンサー
  • 774danger
  • ベストアンサー率53% (1010/1877)
回答No.8

> 質問する前に確認したところ社内LANのルータが表示されなかったため(Vista、XPのtracert、tracerouteツール)思考の候補から外れていました。 > 恐らく応答しない設定かと思います。(しかしrequest time outにもなりませんでした)。 念のためにパケットキャプチャしながらtracertしてみてはどうでしょう? source addressにルータのIPアドレスが入ったパケットが帰ってきているかも........ あと、WindowsのtracertとUNIX系のtracerouteでは投げるパケットが違うため、片方が通っても片方が通らない場合があります (UNIX系のtracerouteは-IオプションでWindowsに合わせたパケットを投げられます) もしtracertしか試されていないようであれば、念のためtracerouteも試してみるといいかもしれません(マシンがあればですが) > この環境ですと、やはり総当たり攻撃しかないでしょうか? 総当たりまで行かなくても、ルータに割り当てられそうな192.168.x.1(ダメならクラスA,B)当たりをスキャンして、応答があったらそのネットワークをsweepする、という感じで行えばそれほど時間はかからないかもしれません > ちょっと私の会社の体質から考えると、ADSL回線を1本引くほうがあっさり通りそうな気がしております。 最終的には、 ・どのくらいセキュリティを保つか ・イニシャルコスト(機器コスト)とランニングコスト(回線費用) の天秤になるかと思います もしフレッツADSLなら、物理回線が1本でもPPPoEが2本張れますから、ISP契約だけ2契約して、ADSLモデムからHUBで分岐してルータを2台並列につないで2つのNWを接続、みたいなことができますね

cell2008
質問者

お礼

ご回答ありがとうございました。 また、現場レベルのアドバイスも大変参考になりました。 参考にいたします。 ありがとうございました。

その他の回答 (7)

  • 774danger
  • ベストアンサー率53% (1010/1877)
回答No.7

> 逆に、営業さんPCのウィルスが社内LANのネットワークアドレスがなんなのか調べる為にはブルートフォースしていくしかないのでしょうか? > もっと簡単に解ってしまうものでしょうか? そんなことしなくても、適当にグローバルアドレスにtracerouteしたら社内LANのルータのアドレスが2段目に見えるでしょうから、そのIPアドレスを元にping sweepするだけでしょう ものの数分もあれば簡単にわかります だいたい、NATをかけるべき方向が逆ですよね (というかファイヤウォール等も含めて考えたらルータのWANとLAN自体が逆かと) 今の状態では営業PCのIPアドレスを変換して隠蔽しているので、社内LAN側は丸見えで営業PCが守られた状態です 社内LANとは通信できないようにしてインターネットにつながせたいのであれば、 http://www.allied-telesis.co.jp/solution/vlan/index.html のようなマルチプルVLANを切れるSW-HUBを入れるとか、値段ははりますが http://www.blwisdom.com/word/key/000434.html 認証VLANの仕組みを入れて、認証ができたら社内LAN、できなかったらインターネットに接続するだけのLANにつながせるとか予算次第でいろいろ方法はあります

cell2008
質問者

お礼

ご回答ありがとうございました。 > そんなことしなくても、適当にグローバルアドレスにtracerouteしたら... 言われてみればその通りです。しかし質問する前に確認したところ社内LANのルータが表示されなかったため(Vista、XPのtracert、tracerouteツール)思考の候補から外れていました。 恐らく応答しない設定かと思います。(しかしrequest time outにもなりませんでした)。 ↑この環境ですと、やはり総当たり攻撃しかないでしょうか? また、ご提案についてもありがとうございます。 ちょっと私の会社の体質から考えると、ADSL回線を1本引くほうがあっさり通りそうな気がしております。 検疫NWが張れれば一番いいのですが・・・。

  • chiezo2005
  • ベストアンサー率41% (634/1537)
回答No.6

#4です。 社内のLANにBBルータをつないでそこに他社の営業さんのPCをつないで 使うと理解しました。 他社の営業さんは自社のLANをスルーして社外へアクセスしてほしかったが 実は他社の営業さんから自社のLANが見えてしまっていたということでしょう。 BBルータのデフォルト設定では見えて当たり前です。 BBルータから見たら社内LANがWANと同じで,WANのマシンは IPアドレスがわかれば見えますから・・・ こうならないためには, 他社PC→BBルータ→自社の社外ゲートウェイとなっていると思いますが, このBBルータの設定として ・BBルータのLAN側からのアクセスはすべて社外ゲートウェイへ。 ・BBルータのWAN側はゲートウェイ以外の社内LANからのパケットはすべて拒絶 としておく必要があります。

cell2008
質問者

お礼

ご回答ありがとうございました。 > 他社の営業さんは自社のLANをスルーして社外へアクセスしてほしかったが > 実は他社の営業さんから自社のLANが見えてしまっていたということでしょう。 いえ、厳密には私がBBルータ配下にPCを接続し、社内LANの端末にPINGを打ったところ到達した次第です。 > BBルータから見たら社内LANがWANと同じで,WANのマシンは > IPアドレスがわかれば見えますから・・・ アドバイスありがとうございます。 そうですよね。でなければ買ってすぐネットに接続出来るわけがない・・・。 逆に、営業さんPCのウィルスが社内LANのネットワークアドレスがなんなのか調べる為にはブルートフォースしていくしかないのでしょうか? もっと簡単に解ってしまうものでしょうか? > ・BBルータのLAN側からのアクセスはすべて社外ゲートウェイへ。 > ・BBルータのWAN側はゲートウェイ以外の社内LANからのパケットはすべて拒絶 アドバイスありがとうございます。 早速ルータの設定を見てみると・・・そこまで細かくフィルタリング出来ないもののようで・・・ この点についてはNW管理者に(F/W、別回線など含め)相談してみます。

  • 774danger
  • ベストアンサー率53% (1010/1877)
回答No.5

> 実は、自社のLANに他社営業の方のPCを接続する際、自社LAN~BBルータ(NAT)~営業さんPCという接続をしているのですが、昨日、NAT環境でも > 自社LANへアクセス可能だということを知り、実際ネットワークツールでも確認し驚愕してしまいました。 このBBルータですが、どういう設定なのでしょうか? どちらがWANでどちらがLANなのかもよくわかりませんが....... このNATというのがNAPTではなく純粋にNATだとしたら通信できるのは当たり前です WAN側がPCで、NAPTだとしても、ポートフォーワーディング(ポートマッピング/ポート開放)の設定をしていれば、外部からアクセス可能です

cell2008
質問者

お礼

ご回答ありがとうございました。 結果を簡単にANo.6さんのお礼に記述しましたので良ければご参照ください。

  • chiezo2005
  • ベストアンサー率41% (634/1537)
回答No.4

質問が微妙でちょっと意図がわかりにくいですが・・・ LAN内のPCがルータのグローバルIPを知る方法はそれこそいろいろ ありえますが, 普通にLAN内を流れているIPパケットからは知ることができません。 つまり ご質問のパケットに内包されているかということに対しては, ルータに届いたin-boundのパケットのヘッダについている 宛先IPであるルータのグローバルIPはLAN内のPCのプライベートIPに 書き換えられてしまうので,通信しているIP自身からは 知ることはできません。 ルータにアクセスするなり,何らかのグローバルIPを知る手段が必要になります。

cell2008
質問者

補足

ご回答ありがとうございました。 なるほど、パケットには書かれてないわけですね・・・(パケットキャプチャすれば良かったですね)。 質問が微妙になってしまいすみませんでした。 例えを自宅のネットワーク環境のように書いてしまったため、質問内容が曖昧になってしまいました。 実は、自社のLANに他社営業の方のPCを接続する際、自社LAN~BBルータ(NAT)~営業さんPCという接続をしているのですが、昨日、NAT環境でも自社LANへアクセス可能だということを知り、実際ネットワークツールでも確認し驚愕してしまいました。 Broadcast対策になるとしても、ある程度高機能のボットに感染しているPCならBBルータを超えて自社LANに接続してしまうなと… この対策も必要なのですが、まずはNAT配下のPCがどのようにBBルータのWAN側IPを知ることが出来るのか、とても疑問に思ったのです。というか技術的に非常に興味があります。 申し訳ありませんが、引き続きご教授お願い致します。

  • PXU10652
  • ベストアンサー率38% (777/1993)
回答No.3

 「この時プライベート側のPCがWAN側のIPを知る方法はどのようなものがあるでしょうか。」  PC自体はグローバルアドレスを知る必要はありません。DNSで相手のアドレスを調べ、それが自分(PC)が属しているサブネットと違うことが分かれば、デフォルトゲートウェイ(ルータ)に中継を依頼するだけです。ルータは、NAT機能を使ってPCのIPアドレスをプロバイダから与えられたアドレスに変換して、インターネットに流すので、元のPCのアドレスはインターネットには流れません。(元のPCのアドレス自体がプライベートアドレスなので、それが分かったところで、インターネット側からは特定できません。)  サーバから応答のパケットが来たら、ルータが宛先のアドレスを元のPCのアドレスに戻して、LAN側に流します。  IPアドレスがパケットに内包されるのは、ルータ間の通信(中継)のときだけです。詳細は市販のTCP/IPの解説本やこちらをごらん下さい。↓ http://ja.wikipedia.org/wiki/%E3%83%AB%E3%83%BC%E3%82%BF

cell2008
質問者

お礼

ご回答ありがとうございました。 使用状況を記述しましたので、宜しければANO.4さんの補足をご覧ください。

  • 774danger
  • ベストアンサー率53% (1010/1877)
回答No.2

ルータに接続して確認できないのであれば、 http://www.ugtop.com/spill.shtml あたりに接続してみるとか............

cell2008
質問者

お礼

ご回答ありがとうございました。 使用状況を記述しましたので、宜しければANO.4さんの補足をご覧ください。

  • e0_0e_OK
  • ベストアンサー率40% (3382/8253)
回答No.1

ルーターの接続情報(ログ)で分かりませんか。私はNTTのPR-200NEですが「Web設定」画面で確認できます。

cell2008
質問者

お礼

ご回答ありがとうございました。 使用状況を記述しましたので、宜しければANO.4さんの補足をご覧ください。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • グローバルIPとプライベートIPについて

    ソフトウェア開発技術者の平成20年春の問題をやっていて、腑に落ちないところがあります。 質問は二つです。 外出先のクライアントのPCからルータA(外出先からインターネットへつなぐためのもの)を通じて、インターネット経由で自宅のネットワークのルータBにアクセスをして、そこからアドレス変換をすることによりサーバにアクセス要求パケットを送信するという類のものなのですが…。 アクセス経路で、あるネットワーク内に存在するクライアントPCからそのPCをネットへつなぐためのルータにアクセスする時に送信元IPアドレスが「192.168.1.10」とクライアントPCのプライベートアドレスになっていました。   ところが、ルータAから別のネットワークのルータBにつなぐときは、送信元のIPアドレスが「61.xxx.42.94」とグローバルIPアドレスになっていました。 (1) 送信元IPアドレスのプライベートとグローバルIPアドレスが変わってくるのは何が原因なのでしょうか? 自分なりに考えてみると、別のネットワークにパケットを送るときは一旦プライベートアドレスからグローバルIPアドレスに変換する必要があるため。と解釈したのですが、正しかったでしょうか。 また、ホームネットワークのルータBに来て目的のサーバにパケットを送るときに、そのルータBから「そのネットワーク内の目的のサーバ」への送信元IPアドレスがパケットが送られてきたネットーワークのグローバルIPアドレスである「61.xxx.42.94」となっていました。 (2)しかし、ルータBは別のネットワークの中に属するものでありその送信元アドレスがなぜそう表示されるのかわかりません。 これは、目的のサーバからのパケットの応答がある場合に、ルータAからクライアントPCに帰るときも同様で、ルータBが存在する方のグローバルIPアドレスである「202.yyy.63.242」が使われていました。 以上二つです。二つともIPアドレスに関する質問です。よろしくお願いします。

  • 異なるネットワークに、プライベートアドレスでpingが通る?

    現在、 WAN=ルータ1(192.168.1)=ルータ2(192.168.2)=PC という接続をしています。 自分のPCのIPアドレスが「192.168.2.3」として、そのPCから、「ping 192.168.1.3」のように上位のネットワークにプライベートIPアドレスでpingを通そうとしたら、応答が帰ってきたのですが、これはなぜなのでしょうか? グローバルIPアドレスか自分のネットワーク内のプライベートネットワークIPアドレスしか、通じないと思っていたのですが…。 よろしくお願いします。

  • プライベートIP割り振り。

    お世話になります。 現在あるプロバイダーでプライベートIPが与えられる場合、複数台のPCにネットをつなげるのはHUBで平気ですか? また、ルータを設置してWAN側、LAN側を設定すれば使用可能ですか?? その場合NAT機能などは機能するのでしょうか?

  • プライベートIPって??

    インターネットでゲームをしていると、『プライベートIPなので、ゲームの申し込みが出来ないことがあります。』って出てきます。 プライベートIPって一体何なんですか?教えてください。 ちなみに、プロバイダはYahoo!BBです。 あと、友達のところもBBなんですが、こんな表示は出てきません。

  • ポート開放でも駄目、プライベートIP

    BフレッツVDSLタイプです。(マンションに付属) それに個人でプロバイダGYAO光に申し込んでます。 普通に接続すると、フレッツ接続ツールがいるので、ルータを使用していますが、あるネットワークゲームに接続できません。プライベートIPではできないみたいなのですが、私の環境はプライベートIpでできないのでしょうか?(プロバイダ変更したとしても) ルータでパソコンにIP192.168.11.xをふりそれにそのネットワークゲームに必要なポートを開放しています。(ファイアウォールも解除) 又ルータを解せず直つなぎでDHCP接続でもできません。 お手上げですのでアドバイスよろしくお願いします。

  • グローバルIPとプライベートIPを区別する方法

    グローバルIPアドレスは、ISPがDHCPで割り振る事はなく、 自宅のPCに割り振られているIPは全てプライベートIPアドレス (つまりIPSのルータが割り振っている)という話を聞きました。 自宅PCのIPアドレスは、ルータ使用時は 192.168.1.2 (プライベートIP)ですが、ルータをはずして直接 接続した場合は、121.2.144.39 になります。これは グローバルIPだと思っていたのですが、違うのでしょうか。 ipconfig /all で見ると、デフォルトゲートウェイも同じでした。 ネットワーク接続の中の接続している設定をWクリックして 詳細を見ると「サーバーIPアドレス 59.146.160.85」になっています。 どちらがDHCPサーバかもよく分かりません。 はっきりとグローバルかプライベートか確認する方法は ないでしょうか。似た質問を検索してみたのですが、 同じ質問はありませんでした。よろしくお願いします。

  • プライベートIPアドレスの判別って・・・

    現在、集合住宅のため、その集合住宅全体(6棟)に1つのグローバルIPが割り当てられており、棟ごとにプライベートIPアドレスが割り当てられているという状態です。 私の部屋のルータのWAN側IPには 192.168.XX.XX というプライベートIPアドレスが割り当てられています。 そこで、このルータをDHCPサーバとして、部屋内LAN を構築する場合、 DHCP の割り当て開始アドレスを 192.168.XX.XX にしても大丈夫なのでしょうか? たまたま、WAN 側と同じIP になるマシンが出現したとしても問題はないのでしょうか? (つまり、WAN 側 192.168.10.10 LAN 側 192.168.10.10 という状態) おそらく、サブネットのサブネットという形になると思うのですが、イマイチ自分の知識に自信が持てません。 どなたか詳しい方のご指導を願います。 P.S 上記設定(WAN 側も 192.168.XX.XX 部屋内も 192.168.XX.XX)のためスカイプがおかしいのかもしれないと疑っています。スカイプがおかしいというのは、接続中になりっぱなしという現象です。 以上、よろしくお願いいたします。

  • ファイアウォールにおけるネットワーク分割

    ・ISPからの割り当て IPアドレス:202.xxx.xxx.96~111 ネットマスク:255.255.255.240(28ビット) 各ゾーンのアドレス ・WAN側:202.xxx.xxx.96/28(グローバル) 97~102をホストで利用可能 96はネットワークアドレス、103はブロードキャストアドレス ・DMZ側:202.xxx.xxx.104/29(グローバル) 105~110をホストで利用可能 104はネットワークアドレス、111はブロードキャストアドレス ・LAN側:192.168.1.0/24(プライベート) (1)ルータのNIC(ファイアウォールに対向する側)とファイアウォールのWAN側NICは、ISPから指定されたIPアドレスとネットマスクをそのまま使用 (2)DMZのネットワークアドレスは、WAN側よりマスクが1ビット長いものを設定。→割り当てられたネットワークの後半部分をサブネットとして切り出すため。 (3)ファイアウォールには、WAN側(96~103)宛てとDMZ側(104~111)宛てのパケットについて、それぞれルーティング設定をしておく。 (4)ルータには、202.xxx.xxx.96~111宛てのパケットについて、ファイアウォールのWAN側NICをゲートウェイとして転送するルーティング設定をしておく。 (4)は、ルータとDMZ側が同一ネットワークアドレスに属する(アドレスが同一とはどういうことか?)にもかかわらず、実際には同一ネットワークに存在しないために必要。この設定がないと、ルータは202.xxx.xxx.96~111宛てのパケットを直接転送する(直接とはどういう意味か?)ために、ARPによって転送先のMACアドレスを得ようとするが、これはDMZ側アドレスに関しては失敗する(なぜ失敗するのか?)ため、通信不能になる。 ()の疑問について教えていただけると助かります。

  • プライベートIPについて

    一つ疑問があります。 プライベートIPでのIPアドレス重複についてです。 Pc1とPc2とPc3があるとして、Pc2,Pc3両方とも IPアドレス1.10.10.5 であり netmaskが255.0.0.0 とした場合,不思議な現象がおきました。 Pc1はIP1.10.10.5に送ることができました。 Pc2でPc1にパケットを送ったときには応答なし! Pc2が1.10.10.5にパケットを送ったときには応答がありました。 Pc3がPC1に送ったとき、IP 1.10.10.5に送ったとき、両方にパケットを送ることができました。 このような現象が起こる原因はどのような理由があるのでしょうか? よろしくお願いします。

    • ベストアンサー
    • ADSL
  • IPアドレス ルータ プライベート グローバル ポート解放の仕方とは

    ルータの話ですがポートがあかないなぁと思っていたら、1activexなどを遮断していたから 空かなかったようなのですが、そういうものなのですか? プライベートIP グローバルIP 2プライベートIPが固定IPでLAN側IPなんですか? そうですといわれたんですが、、、グローバルがプロバイダ側で動的IPらしい  ルータを繋ぐとIP固定されてしまうんですよね 繋がないと変わったりもします 3 ポートをあけるにはインターネットプロトコルをいじらなければいけないですか?私のルータはメルコです。 今回はいじらないであける方法を教えてもらったんですけど、いじる方法といじらない方法など開け方も様々ということですか? 4一番気になったのが、ルータで4台繋ぐとします 掲示板に書き込んだ→どのPCから書き込んだかまで、わかると考えていいですか? グローバルはすべて同じだろうけど、LAN側IP?(おそらくルータが割り振ったIP)が違うから、わかるとか  管理人はプロバイダだけでなくLAN側IPまでわかるんですか? お願いします 恐縮ですが長めで詳しく回答していただけると助かります

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する