ネットワーク関係の解説サイトリンク集|目次|手順 0|1|2|3|A|B|C|D|E|F|G|H| I |J|K|L|M|N|O|P|Q|
作成日:2001年06月01日、更新日:2003年01月15日 作成:鷹の巣自宅サーバ(WWW,FTP,SMTP,POP)に使用するルータの設定手順と設定例を紹介します。
モデム直結の場合は、手順Cへ進んでください。
以下の説明では、ルータのプライベートIPアドレス(局所機番)を192.168.1.1とし、
サーバをインストールしたマシンのプライベートIPアドレス(局所機番)を192.168.1.2としています。
目次
ルータの設定を行うには、ネットワークの知識がある程度要求されます。下記のリンク先のサイトで、説明されていますので、是非ご一読願います。
ルータ(router)は、二つのIPアドレスを有します。一つは、ルータ外側(WAN側)のグローバルIPアドレスであり、もう一つは、ルータの内側(LAN側)の プライベートアドレスです。このアドレスを変換しているのが、NAT(Network Address Translation)と呼ばれるもので、 最近の多くのルータは、NATに加えてTCP/UDPのサービスポート番号まで動的に変換するIPマスカレード(Internet Protocol Masquerade) 機能を有しています。
設定内容は、概ね以下の様な設定です。
ルータのLAN内のIPアドレスの設定
ルータのLAN内のIPアドレスを192.168.1.1に設定し、サブネットマスク値を255.255.255.0とします。
まとめて、192.168.1.1/24と書くこともあります。
DHCP(Dynamic Host Configuration Protocol)設定
LAN内のIPアドレスを非固定IPアドレスにする場合、DHCPサーバー機能を使用します。
DHCP開始アドレス192.168.1.3(サーバー機のIPアドレス+1)と端末台数とDNSサーバーやデフォルトゲートウェイのIPアドレスを
指定します。
ルータが自動的にDNSサーバーのIPアドレスを検出する場合は、DNSサーバーは、ルータのIPアドレス(192.168.1.1)を指定します。
デフォルトゲートウェイは、通常ルータのIPアドレス(192.168.1.1)を指定します。
IPマスカレードの設定
IPマスカレードは、「使用」にします。ネットワークセグメントの番号192.168.1.0やネットマスク値を255.255.255.0を指定します。
カプセル化インターフェィスの設定
ルータには、PPPoEやPPPoA等のカプセル化を指定するものがあります。通常、初期値で使用出来る様になっています。
ポートフォワーディング設定(ポートマッピング機能)
ルータ外側(WAN側)のグローバルアドレスのサービスポート番号(FTPがTCP21番、SMTPがTCP25番、WWWがTCP80番等)に
アクセスして来たパケットをルータ内側(LAN側)のサーバー機のプライベートアドレスのサービスポート番号に送る様、静的に
設定します。(IPマスカレードの例外処理)
ルーティングテーブル設定
ルーティングテーブルは、自宅内にルータが1台の場合は、通常そのまま使用します。
DMZホスト設定
この機能は、自宅内にルータが1台の場合は、使用してはいけません。この機能を使用しますと、下図B1aの様になります。
このDMZ域にサーバーを設置しますと、ルータによるNATやIPマスカレード等によるFirewallがなくなる為、サーバー機にルータと
同等以上のネットワークセキュリティ機能を実装する必要があります。
DMZの通常の使用例を下図B1bに示します。Firewallを2段にして、WAN側に近い方のLAN内のネットワークセグメントをDMZ域とし、
ここにインターネットに公開するサーバー機を設置します。クライアント機は、更に内堀routerで、ネットワークセグメントを分けて、
外敵から防護します。
参考サイト:Firewall 構築ガイド
| DMZ域 | Firewall(外堀) | クライアント域 |
|---|---|---|
| WAN -----(vvv.xxx.yyy.zzz)----- グローバルアドレス1個 |
router |
LAN =====(192.168.1.0/24)===== プライベートアドレス254個 |
| インターネット側 | Firewall (外堀) |
DMZ域 | Firewall (内堀) |
クライアント域 |
|---|---|---|---|---|
| WAN ----(vvv.xxx.yyy.zzz)---- グローバルアドレス1個 |
router |
LAN ++++(192.168.1.0/24)++++ プライベートアドレス254個 |
router |
LAN ====(192.168.100.0/24)==== プライベートアドレス254個 |
| インターネット側 | Firewall (外堀) |
DMZ域 | Firewall (内堀) |
クライアント域 |
|---|---|---|---|---|
| WAN -----(vvv.xxx.yyy.zzz)---- グローバルアドレス8個 |
router |
WAN ++++(vvv.xxx.yyy.0/29)++++ グローバルアドレス8個 |
router |
LAN ====(192.168.1.0/24)===== プライベートアドレス254個 |
パケットフィルタリングの設定(静的ルール)
必要最小限のサービスポート番号だけをインターネットに開放し、インターネットに開放しないサービスポートは、全て閉めます。基本的に
運用:常時接続時代のパーソナル・セキュリティ対策(第2回) 5.パケット・フィルタの設定(1)の要求されるパケット・フィルタ設定
で、TCPとUDPとICMPのプロトコル毎の使用するサービスポート番号は、絞り込んでおく必要があります。
プライベートアドレスが外(WAN)側から入ってこない様にするパケットフィルタリングは、最低限やっておかなければいけません。
とりあえずフィルタリングを設定せずにWebサーバーを立ち上げ、稼動させた後に設定する方が良いかも知れません。
最終的には、下表のフィルタリングは、最低限行っておいて下さい。
ICMPパケットのフィルタリングについては、「ICMP(Internet Control Message Protocol)とは?」を理解した上で、 pingで使われるICMP Echo要求(typeフィールド=8)とICMP Echo応答Echo Reply(typeフィールド=0)パケットと tracerouteで使われるICMP 破棄報告(typeフィールド=11)とTCPやUDPの全てで使われるICMP 宛先到達不能(typeフィールド=3) パケットの通過設定を行って下さい。理解出来ない場合は、ICMPパケットに応答しない様、設定して下さい。
| 区分 | Operation System | 番号 | 用途名(英語) | 解説 |
|---|---|---|---|---|
| △ | 全て | 23 | Telnet | コンピュータを遠隔操作するための標準方式 |
| × | Windows | 135 | DCE endpoint resolution | データ回線終端装置終端解決 |
| × | Windows | 137 | NetBIOS Name Service | ネットワーク内コンピュータ名(NetBIOS名)名前解決 |
| × | Windows | 138 | NetBIOS Datagram Service | ネットワーク内データ送受信 |
| × | Windows | 139 | NetBIOS Session Service | ネットワーク内共有ファイル送受信 |
| × | Windows 2000 以降 | 445 | Microsoft-DS(Direct Hosted SMB Service) | ネットワーク内ファイル共有と認証 |
| △ | Windows | 3389 | MS WBT Server 注)1 | WindowsベースのTerminal ServiceWindows MSN MessengerのリモートアシスタンスWindows XPのリモートデスクトップ |
| - | - | - | - | - |
| × | MAC OS | 201 | AppleTalk Routing Maintenance | ネットワーク経路保守 |
| × | MAC OS | 202 | AppleTalk Name Binding | ネットワーク名前結合 |
| × | MAC OS | 203 | AppleTalk Unused | ネットワーク用予約 |
| × | MAC OS | 204 | AppleTalk Echo | ネットワーク同応答 |
| × | MAC OS | 205 | AppleTalk Unused | ネットワーク用予約 |
| × | MAC OS | 206 | AppleTalk Zone Information | ネットワーク領域情報 |
| × | MAC OS | 207 | AppleTalk Unused | ネットワーク用予約 |
| × | MAC OS | 208 | AppleTalk Unused | ネットワーク用予約 |
| - | - | - | - | - |
ルータの設定で、サーバをインストールしたマシンのプライベートIPアドレス(局所機番)を192.168.1.2に手動で設定します。 (ルータのDHCP機能によって、サーバマシンのプライベートIPアドレスが変わらないようにします。) この方法は、色んなやり方がありますので、ルータの設定例が記載された参考サイトを下表に示します。
-表B2- LAN内にWindows ユーザーを有する場合は、以下の設定を推奨します。
サーバー機がクライアント機とファイルとプリンタの共有を行わない場合(推奨)
Windows 2000 Professional ローカル エリア ネットワーク(LAN)接続のTCP/IP設定方法が、「自宅サーバーを開局しよう」(http://mebius.zive.net/)さんで示されていました。 この方法では、「Microsoft ネットワーク用クライアント」と「Microsoft ネットワーク用ファイルとプリンタ共有」を削除して、 サーバー機やクライアント機の安全性を高めます。私のLAN接続のTCP/IP設定例(サーバー機用とクライアント機用)は、 Windows 2000用とWindows XP用で、その結果のみを示しています。 尚、クライアント機同士は、共有してもかまいません。(私の場合は、各クライアント機同士も共有を遮断しています。)
サーバー機がクライアント機とファイルとプリンタの共有を行う場合
「Microsoft ネットワーク用クライアント」と「Microsoft ネットワーク用ファイルとプリンタ共有」は、削除せずに、 上記と同じ様にして、「インターネットプロトコル(TCP/IP)」の設定を行って下さい。 但し、「自宅サーバ道」さんのLAN内でファイル・プリンタを安全に共有するに書かれている内容を 理解され、ルータでNetBIOS関連のサービスポート(135~139と445番)を確実にしゃ断(フィルタリング)して下さい。
ルータの設定で、サーバの種類に応じて、IPアドレス自動変換とポート番号自動変換を固定化します。(静的に一対一に対応付けします。) すなわち、インターネット側のグローバルIPアドレス(広域機番)WWW.XXX.YYY.ZZZのポート(機能番号)Pと複数台のLAN側機器内の サーバのプライベートIPアドレスの192.168.1.2のポートPを静的に一対一に対応付けします。
このポートPは、FTPがTCP21番、SMTPがTCP25番、WWWがTCP80番と決まっています。 又、リモートでメールチェックする場合は、POP3ポート110番も静的NAT結合させます。 尚、複数台のLAN側よりWAN(広域網)のルータ1台へ出て行くパケットデータは、DHCPもIPアドレス自動変換もポート自動変換も、 もともと変換する必要がないため、基本的には、静的に一対一に対応付けする必要はありません。 当サイトのFTP制御用ポートの21番を静的NAT結合させてもFTPデータ送受信用ポートの20番を静的NAT結合させない理由は、 FTPデータがダウンロード専用であり、データがFTPサーバーからFTPクライアントに向かう方向だけだからです。
注)パケット(データ塊)の中には、サーバとクライアント間の通信を行うための機番2つと機能番号が必ず、含まれています。
ルータの設定方法は、ブラウザで設定できるものが多く、OSに依存しません。しかしながら、設定方法がルータの機種に依存しますので、
ルータ設定方法の解説サイトリンク集(設定方法の解説サイトを募集中です。)
に設定例の公開先を示します。
データの転送速度が出ない場合、以下のリンク先をご覧になり、データのパケットサイズ(MTU)を調整してみて下さい。
ADSL用ルータには、このMTU値を設定するところがありますから、忘れずに設定して下さい。
Windows用リンク先
ITmedia:ITmedia エンタープライズ デベロッパー: Windows Tips - Windows 2000でMTUサイズを調整したい 、 MTUとRWINの調整 、 MTUとRWINの調整方法
Linux用リンク先
ITmedia:ITmedia エンタープライズ ヘルプデスク: Linux Tips - LinuxでMTUを変更したい
|▲頁先頭|