作成日:2001年06月01日、更新日:2003年01月15日 作成:鷹の巣

自宅サーバ(WWW,FTP,SMTP,POP)に使用するルータの設定手順と設定例を紹介します。


手順B.ルータ使用時のルータの設定

モデム直結の場合は、手順Cへ進んでください。

以下の説明では、ルータのプライベートIPアドレス(局所機番)を192.168.1.1とし、
サーバをインストールしたマシンのプライベートIPアドレス(局所機番)を192.168.1.2としています。

目次

  1. ネットワークの基礎知識
  2. ルータの基本的な設定(LANインターフェイス設定)
  3. サーバをインストールしたマシンのプライベートIPアドレスの固定化
  4. 静的NAT結合
  5. ルータの設定例
  6. データのパケットサイズ(MTU)の調整

1. ネットワークの基礎知識

ルータの設定を行うには、ネットワークの知識がある程度要求されます。下記のリンク先のサイトで、説明されていますので、是非ご一読願います。

左矢印 ネットワーク関係の解説サイトリンク集

2. ルータの基本的な設定LANインターフェイス設定)

ルータ(router)は、二つのIPアドレスを有します。一つは、ルータ外側(WAN側)のグローバルIPアドレスであり、もう一つは、ルータの内側(LAN側)の プライベートアドレスです。このアドレスを変換しているのが、NAT(Network Address Translation)と呼ばれるもので、 最近の多くのルータは、NATに加えてTCP/UDPのサービスポート番号まで動的に変換するIPマスカレード(Internet Protocol Masquerade) 機能を有しています。

設定内容は、概ね以下の様な設定です。

  1. ルータのLAN内のIPアドレスの設定
    ルータのLAN内のIPアドレスを192.168.1.1に設定し、サブネットマスク値を255.255.255.0とします。 まとめて、192.168.1.1/24と書くこともあります。

  2. DHCP(Dynamic Host Configuration Protocol)設定
    LAN内のIPアドレスを非固定IPアドレスにする場合、DHCPサーバー機能を使用します。 DHCP開始アドレス192.168.1.3(サーバー機のIPアドレス+1)と端末台数とDNSサーバーデフォルトゲートウェイのIPアドレスを 指定します。 ルータが自動的にDNSサーバーのIPアドレスを検出する場合は、DNSサーバーは、ルータのIPアドレス(192.168.1.1)を指定します。 デフォルトゲートウェイは、通常ルータのIPアドレス(192.168.1.1)を指定します。

  3. IPマスカレードの設定
    IPマスカレードは、「使用」にします。ネットワークセグメントの番号192.168.1.0やネットマスク値を255.255.255.0を指定します。

  4. カプセル化インターフェィスの設定
    ルータには、PPPoEPPPoA等のカプセル化を指定するものがあります。通常、初期値で使用出来る様になっています。

  5. ポートフォワーディング設定(ポートマッピング機能)
    ルータ外側(WAN側)のグローバルアドレスのサービスポート番号FTPがTCP21番、SMTPがTCP25番、WWWがTCP80番等)に アクセスして来たパケットをルータ内側(LAN側)のサーバー機のプライベートアドレスのサービスポート番号に送る様、静的に 設定します。(IPマスカレードの例外処理)

  6. ルーティングテーブル設定
    ルーティングテーブルは、自宅内にルータが1台の場合は、通常そのまま使用します。

  7. DMZホスト設定
    この機能は、自宅内にルータが1台の場合は、使用してはいけません。この機能を使用しますと、下図B1aの様になります。 このDMZ域にサーバーを設置しますと、ルータによるNATやIPマスカレード等によるFirewallがなくなる為、サーバー機にルータと 同等以上のネットワークセキュリティ機能を実装する必要があります。

    DMZの通常の使用例を下図B1bに示します。Firewallを2段にして、WAN側に近い方のLAN内のネットワークセグメントをDMZ域とし、 ここにインターネットに公開するサーバー機を設置します。クライアント機は、更に内堀routerで、ネットワークセグメントを分けて、 外敵から防護します。
    参考サイト:Firewall 構築ガイド

    -図B1a- 自宅サーバー通常の構成例(ルータが1台で、グローバルアドレス1個の場合)
    DMZ域 Firewall(外堀) クライアント
    WAN
    -----(vvv.xxx.yyy.zzz)-----
    グローバルアドレス1個

    router

                    LAN
    =====(192.168.1.0/24)=====
    プライベートアドレス254個
    注)
    1. セキュリティを強固にするには、クライアント域のプライベートアドレスの第4オクテットの数値を飛び飛びの値にする。 (サーバー機やクライアント機に万一侵入された場合、各機のIPアドレスを少しでも類推しにくくする為、DHCP機能を使用せずに 固定IPアドレスにします。)
    2. 第4オクテットの数値の「0」は、ネットワーク全体(ネットワークセグメント)を表し、「255」は、同報用(ブロードキャストアドレス)を表す。
    -図B1b- 通常のDMZ構成例(ルータが2台以上で、グローバルアドレス1個の場合)
    インターネット側 Firewall
    (外堀)
    DMZ域 Firewall
    (内堀)
    クライアント域
    WAN
    ----(vvv.xxx.yyy.zzz)----
    グローバルアドレス1個

    router

            LAN
    ++++(192.168.1.0/24)++++
    プライベートアドレス254個

    router

                      LAN
    ====(192.168.100.0/24)====
    プライベートアドレス254個
    注)
    1. セキュリティを強固にするには、DMZ域のプライベートアドレスの第3オクテット迄の数値を変える。
    2. セキュリティを強固にするには、クライアント域のプライベートアドレスの第4オクテットの数値を飛び飛びの値にする。(クライアント機に 万一侵入された場合、各機のIPアドレスを少しでも類推しにくくする為、DHCP機能を使用せずに固定IPアドレスにします。)
    3. 第4オクテットの数値の「0」は、ネットワーク全体(ネットワークセグメント)を表し、「255」は、同報用(ブロードキャストアドレス)を表す。
    -図B1c- ネットワーク接続形のDMZ構成例(ルータが2台以上で、グローバルアドレス8個の場合)
    インターネット側 Firewall
    (外堀)
    DMZ域 Firewall
    (内堀)
    クライアント域
    WAN
    -----(vvv.xxx.yyy.zzz)----
    グローバルアドレス8個

    router

            WAN
    ++++(vvv.xxx.yyy.0/29)++++
    グローバルアドレス8個

    router

                     LAN
    ====(192.168.1.0/24)=====
    プライベートアドレス254個
    注)
    1. セキュリティを強固にするには、クライアント域のプライベートアドレスの第4オクテットの数値を飛び飛びの値にする。(クライアント機に 万一侵入された場合、各機のIPアドレスを少しでも類推しにくくする為、DHCP機能を使用せずに固定IPアドレスにします。)
    2. 第4オクテットの数値の「0」は、ネットワーク全体(ネットワークセグメント)を表し、最大値は、同報用(ブロードキャストアドレス)を表す。
  8. パケットフィルタリングの設定(静的ルール)
    必要最小限のサービスポート番号だけをインターネットに開放し、インターネットに開放しないサービスポートは、全て閉めます。基本的に
    運用:常時接続時代のパーソナル・セキュリティ対策(第2回) 5.パケット・フィルタの設定(1)の要求されるパケット・フィルタ設定
    で、TCPとUDPとICMPのプロトコル毎の使用するサービスポート番号は、絞り込んでおく必要があります。 プライベートアドレスが外(WAN)側から入ってこない様にするパケットフィルタリングは、最低限やっておかなければいけません。 とりあえずフィルタリングを設定せずにWebサーバーを立ち上げ、稼動させた後に設定する方が良いかも知れません。 最終的には、下表のフィルタリングは、最低限行っておいて下さい。

    ICMPパケットのフィルタリングについては、「ICMP(Internet Control Message Protocol)とは?」を理解した上で、 pingで使われるICMP Echo要求(typeフィールド=8)とICMP Echo応答Echo Reply(typeフィールド=0)パケットと tracerouteで使われるICMP 破棄報告(typeフィールド=11)とTCPやUDPの全てで使われるICMP 宛先到達不能(typeフィールド=3) パケットの通過設定を行って下さい。理解出来ない場合は、ICMPパケットに応答しない様、設定して下さい

    -表B1- パケットフィルタリングでしゃ断すべきサービスポート番号一覧(TCP/UDP両方をしゃ断)2002年1月27日現在
    区分 Operation System 番号 用途名(英語) 解説
    全て 23 Telnet コンピュータを遠隔操作するための標準方式
    × Windows 135 DCE endpoint resolution データ回線終端装置終端解決
    × Windows 137 NetBIOS Name Service ネットワーク内コンピュータ名(NetBIOS名)名前解決
    × Windows 138 NetBIOS Datagram Service ネットワーク内データ送受信
    × Windows 139 NetBIOS Session Service ネットワーク内共有ファイル送受信
    × Windows 2000 以降 445 Microsoft-DS(Direct Hosted SMB Service) ネットワーク内ファイル共有と認証
    Windows 3389 MS WBT Server  注)1 WindowsベースのTerminal ServiceWindows MSN MessengerのリモートアシスタンスWindows XPのリモートデスクトップ
    - - - - -
    × MAC OS 201 AppleTalk Routing Maintenance ネットワーク経路保守
    × MAC OS 202 AppleTalk Name Binding ネットワーク名前結合
    × MAC OS 203 AppleTalk Unused ネットワーク用予約
    × MAC OS 204 AppleTalk Echo ネットワーク同応答
    × MAC OS 205 AppleTalk Unused ネットワーク用予約
    × MAC OS 206 AppleTalk Zone Information ネットワーク領域情報
    × MAC OS 207 AppleTalk Unused ネットワーク用予約
    × MAC OS 208 AppleTalk Unused ネットワーク用予約
    - - - - -
    参考サイト:
    port-numbers 、[n o t e s] Well-known Port Number Assignment List - ADSL memo

    注)
    1. 3389番の内側(LAN側)から外側(WAN側)へのパケットを遮断すると、FTPサーバーのPASVモードで、ファイル数の多い ファイル転送が行われた場合に転送が中断する場合があります。
    2. 次の表B2で、ネットワーク共有の削除にてファイルやプリンタの共有を行っていない場合は、省略しても良い。 (ノートパソコン等の可搬性機器の接続のことまで、考慮すると省略しない方が良いです。)
    3. 使用している通信手順(protocol)は、TCPかUDPですが、間違いの基ですから、TCP/UDP両方をしゃ断して下さい。

3. サーバをインストールしたマシンのプライベートIPアドレスの固定化

ルータの設定で、サーバをインストールしたマシンのプライベートIPアドレス(局所機番)を192.168.1.2に手動で設定します。 (ルータのDHCP機能によって、サーバマシンのプライベートIPアドレスが変わらないようにします。) この方法は、色んなやり方がありますので、ルータの設定例が記載された参考サイトを下表に示します。

-表B2- LAN内にWindows ユーザーを有する場合は、以下の設定を推奨します。

4. 静的NAT結合

ルータの設定で、サーバの種類に応じて、IPアドレス自動変換とポート番号自動変換を固定化します。(静的に一対一に対応付けします。) すなわち、インターネット側のグローバルIPアドレス(広域機番)WWW.XXX.YYY.ZZZのポート(機能番号)と複数台のLAN側機器内の サーバのプライベートIPアドレスの192.168.1.2のポートを静的に一対一に対応付けします。

このポートは、FTPがTCP21番、SMTPがTCP25番、WWWがTCP80番と決まっています。 又、リモートでメールチェックする場合は、POP3ポート110番も静的NAT結合させます。 尚、複数台のLAN側よりWAN(広域網)のルータ1台へ出て行くパケットデータは、DHCPもIPアドレス自動変換もポート自動変換も、 もともと変換する必要がないため、基本的には、静的に一対一に対応付けする必要はありません。 当サイトのFTP制御用ポートの21番を静的NAT結合させてもFTPデータ送受信用ポートの20番を静的NAT結合させない理由は、 FTPデータがダウンロード専用であり、データがFTPサーバーからFTPクライアントに向かう方向だけだからです。

注)パケット(データ塊)の中には、サーバとクライアント間の通信を行うための機番2つと機能番号が必ず、含まれています。

5. ルータの設定例

ルータの設定方法は、ブラウザで設定できるものが多く、OSに依存しません。しかしながら、設定方法がルータの機種に依存しますので、
左矢印 ルータ設定方法の解説サイトリンク集(設定方法の解説サイトを募集中です。)
に設定例の公開先を示します。

6. データのパケットサイズ(MTU)の調整

データの転送速度が出ない場合、以下のリンク先をご覧になり、データのパケットサイズ(MTU)を調整してみて下さい。

ADSL用ルータには、このMTU値を設定するところがありますから、忘れずに設定して下さい

▲頁先頭