技術情報 Ethernet

前回は、自宅のネットワーク環境でどのようにパケットが送受信されているか確認しました。
今回からもう少し具体的に、自宅に設置したサーバをインターネットに公開する方法について説明していきます。

これまで説明したとおり、プライベートIPアドレスしか割り振られていないネットワーク機器をインターネットに公開するためには、ちょっと工夫が必要です。
その手法として、主に

  • 静的NAT機能を利用して公開する
  • ポートフォワーディング(Port Forwarding)を利用して公開する
  • VPN(Virtual Private Network)を利用して公開する

の3種類が考えられます。
1番目はルーターの設定で実現できる方法ですが、すべてのルーターで実現できるわけではありません。
安価なブロードバンドルーターでは、静的NATの機能が実装されていないこともあります。
2番目は、インターネット上と自宅のネットワークのそれぞれににゲートウェイとなるサーバが必要になります。
3番目は、限られたユーザに対してのみ有効な方法です。またVPNに対応したルーターが必要ですし、サービスを受けるユーザもVPNに接続できる環境が必要です。
第2回目の今回は、静的NAT機能を利用する方法について説明します。

静的NAT機能を利用して公開する

一般に市販されているブロードバンドルーターでは、静的NATの設定をしない場合、WAN側からLAN側へのリクエストを通しません。(図-5-1)

通常はインターネットからのリクエストパケットはルータを通過しない
図-5-1

しかし、ご利用のルーターの機能に『静的NAT』または『DMZ(DeMilitarized Zone)』が実装されている場合に実現できる可能性があります。
ブロードバンドルーターのDMZ機能とは、ルーターに届いたリクエストパケットを(LANにつながった)特定のIPアドレスの機器に転送する機能を指していることがほとんどです。これであれば、静的NATをすることとほぼ同じです。
静的NATをする場合はブロードバンドルーターの設定画面で、LANにつながった転送先の機器のIPアドレスを登録します。この設定で指定されたIPアドレスの機器が、ルーターに割り振られたグローバルIPアドレスで公開されます。
このときの通信例として図-5-2を示します。
ここでは、リクエストを送るパソコンのIPアドレスを、OOO.PPP.QQQ.RRRとします。公開されるIPアドレスは、CCC.DDD.EEE.FFFでルーターに割り振られたIPアドレスです。実際にリクエストを処理するサーバのIPアドレスは、192.168.AAA.UUUとします。

  1. パソコンから、送信先のIPアドレスをCCC.DDD.EEE.FFF、ポートを433番に、送信元のIPアドレスをOOO.PPP.QQQ.RRR、ポートをm番にして、リクエストパケットを作成します。
  2. 作成されたリクエストパケットを送信します。
  3. ルーターのWAN側に届いたリクエストパケットは、静的NAT機能によって、送信先のIPアドレスを192.168.AAA.UUUに変換します。
    ※これでサーバが送信先になります。
  4. 変換されたリクエストパケットを、サーバに送信します。
  5. サーバはリクエストを処理して、送信先のIPアドレスをOOO.PPP.QQQ.RRR、ポートをm番に、送信元のIPアドレスを192.168.AAA.UUU、ポートを433番にしてレスポンスパケットを作成します。
  6. 作成されたレスポンスパケットは、中継を依頼するためデフォルトゲートウェイであるルーターに送信します。
  7. ルーターのLAN側に届いたレスポンスパケットは、静的NAT機能によって、送信元のIPアドレスをCCC.DDD.EEE.FFFに変換します。
  8. 変換されたレスポンスパケットは、送信先であるパソコンに送ります。

このように静的NATを利用して、プライベートIPアドレスしか割り振られていない機器にインターネットからのリクエストを処理させることができるようになります。
しかし多くのブロードバンドルーターでは、DMZに転送するパケットに対してファイアウォールを適用しないようです。そのため、転送先の機器で十分なセキュリティー対策が必要になります。

静的NATを使うとインターネット側からのリクエストパケットをLANに送ることができる
図-5-2

簡単にセキュリティーを確保するためには図-6に示すように、パソコンなどがつながっているLANと、公開したいサーバがつながっているDMZを別ネットワークにします。

セキュリティを考慮したネットワーク構成
図-6

【注意!】静的NAT機能を利用してサーバを公開する場合、LANからアクセスする場合と、インターネットからアクセスする場合で、IPアドレスが違います。LANからアクセスする場合は、そのサーバに割り振られたIPアドレスですが、インターネットからアクセスする場合は、静的NATを行っているルーターのグローバルIPアドレスを指定します。LANからアクセスする場合は、静的NATを行うルーターを通らずに目的のサーバにパケットが届きます。LANからルータのグローバルIPアドレスを指定した場合は、目的のサーバにパケットが届かずに迷子になってしまいます。

次回

『ポートフォワーディングを利用して公開する方法』について説明していきます。

実践編 VPNを構築してサテライトオフィスに設置した弊社製WSD001A-Jを鳴らしてみた

1. はじめに
2. 静的NATによる公開
3. ポートフォワーディングによる公開
4. VPNによる公開