先日書いて記事のせいで、何人かが間違えてgoogleでヒットしてしまったのを閲覧しているようなので、ここでそれについての正しい情報を記載します
Buffaroのエアーステーションは大体において、ファームウェアのインターフェースが同じなので、ある程度の期間に作られた物は、実際のハードウェア仕様の制約以外には、全部が同じファームウェアで動いているんじゃないかと錯覚する感じです。
自宅にあるあれも、会社で使っているこれも、全く同じ画面ですなので、結構広範囲のエアーステーションの説明になるんじゃないかと思います。
で、その画面にあるIPフィルターについてです。
何故、「IPフィルター」の事が検索されているのかは分かりませんが、
あたしも、何か血迷って苦労しているような事を書き込んでいます。
ですが、これについて、あたしは「ポート変換」にて対応しました。
エアーステーションの場合IP変換(もしくは中継等々)は「ポート変換」にて設定します。
また、DMZの機能もありますが、まぁ・・・「ポート変換」を推奨
昔のルーターを使っていた人、古い説明をどこかで聞いた事のある人等は、
ポート変換とIP変換は別々に行われる物と思っています。
また、そんな人たちにとっては、IP変換とIPフィルターは結構近い機能であるため、
古いルーターは、設定する場所が同じであったり、同一扱いされていたりしました。
いわゆるNATとIPマスカレードの違いです。
まず、IP変換(IPマスカレード)について説明します。
これは、その名の通り、IPアドレスを変換する機能です。
ルーターはネットワークを切り分けるための装置です。
ですので、ルーターを跨いだ、向こうとこっちでは、通常通信が出来ません。
でも、インターネットの接続などにルーターを利用するように、ルーターを越えた通信は出来るんです。
これが、ルーティング(経路制御)と言われるルーターの最も重要な機能です。
・簡単な例
PC1がPC2と通信したいとします。
PC1とPC2が近所(同じネットワーク内)にあった場合、
このときは、PC同士が直接相手を見つけて、通信を行う事が出来ます。
PC1とPC2が離れて(同じネットワークにない)いた場合、
PC1はPC2を探しても見付かりません。
そんなときは、ルーター(正しくはデフォルトゲートウェイ)に対して、PC2はそちらにいませんか?と問い合わせます。
(最近のPCはサブネットマスクを利用して同じネットワーク内に居るかを判別します)
すると、ルーターは内部にある経路情報(ルーティングテーブル)を利用して、同じネットワーク内には居ないと判断すると、経路情報に沿った別のネットワークに通信要求を転送します。
一般的な家庭の場合、パソコン同士は、LANの中で通信を集結させて、インターネットへの接続を行おうとすると、ルーターが通信データをインターネット側へ流し、それを受信したサーバーが返事を返すわけです。
ルーティングの仕組みは分かったとして・・・・
IP変換とは、何かという事です・・・・
インターネットは、全てのサーバーにIPアドレスと言われる個別の番号が振られています。
通信をする時は、このIPアドレスを利用して、誰が何処にいるのかを判別し、目的の場所までデータを送る。
そして、返事が返ってくる。
要するに、全ての装置にIPアドレスが一意に割り振られているわけですが・・・
たくさん有る全ての家庭の全ての装置に対しても、この作業を行う事がとてもではありませんが、出来ない事なのです。
なにせ、パソコンだけではなく、ブルーレイレコーダーやら、地デジテレビとか、最近は色々な物がネットワークに繋がっており、この全てに対して、ネットワークアドレスを割り振る事が出来なかったのです。
っていうか、事実現在利用されているIPV4と言われている物は、そろそろ国際割り当てが完了し、余っているアドレスが無くなります。
各国は、手持ちがまだありますけど、それでも、そのうち無くなるといわれています。
要するに、接続する装置(パソコンなど)がこれほどにまで増加してしまうと、それの管理も大変なのです。
なので、世界中にあるサーバー等に対して割り当てられる、グローバルIPと家庭などで気軽に使えるローカルIPに分けて考えるようになったのです。
でローカルIPはどんな値を使っても良いのですが・・・ローカルIPは家庭内部でのみ意味があるIPアドレスなので、
パソコンからインターネット上のサーバーにデータを送るのは問題なくできますが、
サーバーから返事を返す時、そのローカルIPアドレスがいったい何処にあるのかが分からないわけです。
なので、ルーターはデータを中継する際に、送信元の情報をルーターに割り当てられているグローバルIPに書き換えて送信するのです。
(注:家庭内にあるルーターが直接グローバルIPが割り当てられているとは限りませんが、
ルーターをいくつか経由していく際に途中で・・・最終的にはどこかで、グローバルIPが割り当てられているルーターがインターネットに繋がっています。)
IPルーティングは、そこの注釈で書いた通り、どこかで値が重複しないように綺麗に分割させれば、何個でも繰り返す事が出来ます。
巨大企業A社が・・・各支店に、各部署に、各課に・・・と・・ルーターを置いてIP変換をしながらインターネットに接続する事も出来ます。
まぁ、細かい事はいいね・・・・
で、ルーターが内側と外側で違うIPアドレスグループを正しく通信が出来るように、返信先のIPアドレスを変更する事をIP変換と言います。
で、IPフィルターとは何かというと、
通信が、ルータを越えた向こう側とする必要が有る場合
ルータを越えられないようにするか、越えさせないか
通信がルーターの向こう側から来た時に、
ルータを越えて入ってこさせるが、入れないようにするか
簡単に言うと、データを中継しても良いか、悪いか
それを設定する機能です。
この最重要なのは、ルーター越えをするときに相手と正常に通信できる関係があるかという所です。
先ほども言いましたが・・・・ルーターがグローバルIPとローカルIPの間において通信をさせる時に、ローカルIPをルーターに割り当てられているIPアドレスに変換して、返事が正しく返ってくるようにするように・・・・
ローカルからグローバルへの通信は何とでもなるのですが、グローバルから、ローカルへの通信は、そう簡単にはいきません。
何故かというと、グローバルな位置にあるサーバーから送られてきたデータは、ルーター宛のデータという事になります。
ルーターは、IP変換をした際に、何処のパソコンから何処のサーバー宛に送られてきたデータかを記録してあるので、そのサーバーから送られてきたデータは、もとのパソコンへと送ってあげるのです。
では、外から直接来た通信はどうなるのでしょうか?
ルーターはどのPCあてのデータなのか分からないので、データを中継しません(出来ません)
要するにですね、ローカルIPを利用している環境において、IPフィルターを利用した外からの通信を許可する事は不可能なのです。
(おそらくDMZを除く)
ですから、
エアーステーションを利用している人?
IPフィルターで努力しないように・・・・
そのための機能は「ポート変換」として用意されています。
なお、これ、「ポート変換」という機能名なのに、ポート変換をしない事も可能です。
一般的なセキュリティ動作中にはこのIPフィルターはいらないということですね
一応設定する項目について説明
送信元 グローバルIP側の範囲制限を行います。
宛先 受信するPC 当然ながら、ローカルIPは指定できません。
プロトコル 一般的にはTCPだよね
ポート 送信先のポート
で、ポート変換ですが、
これに設定できる項目は、
送信元 グローバルIP側の範囲制限を行います。
宛先 ローカルの受信するPC
プロトコル 一般的にはTCPだよね
で、こっちがアレね、外からの受信を中継するためのIP変換を設定できます。
インターネットIPアドレス
データが着信するIPアドレス
プロトコル
TCPだよね
ポート
任意のポート番号(範囲可)
LAN側IPアドレス
送信先PCを指定します。
LAN側ポート
ポート変換しない場合は、空白
違うポートへ中継する場合は、別の番号を
尚、ポート変換する場合は、範囲指定が出来ないようです。
そういえばポート変換の説明をしていなかったので、軽くしますね。
IP変換と同じように、通信時に、中継するルーターがポート番号を変更して送ります。
必要な理由というもあるのですが・・・
複数のパソコンから同時に同じポート番号への通信とか、同じポート番号からの通信とか、そういうことがあると、ポート居番号が全く同じなため、IP変換などの機能も含めてしまうと、どこから何処への通信化が、ルーター側で判別できなくなる事があったり、まぁいろいろと有るので、
ポート番号を変更して通信する事が多いです。
これ自体はエアーステーションのポート変換の設定とは別です。
何か、もっと細かい事が知りたかったら、拍手のコメントで要望送ってくれても良いですよ〜☆ミ
|