WebServer--WIMAXモバイルルータ(WX01)でポート開放
概要
webサーバを公開するために、
WIMAXモバイルルータ(WX01)の
http通信に使われるポートを開放する手順を調べたので、
めも。
方法
DMZ方式
- アドレス欄に192.168.179.1を入力してEnter
- 詳細設定のTOPをクリック
- user:admin, passwd:設定したパスワードを入力
- 詳細設定をクリック
- その他の設定をクリック
- DMZホスト設定の使用するにチェックをいれる
- 設定したいLAN側ホストのIPアドレスを入力
- 設定をクリック
NAT方式
- アドレス欄に192.168.179.1を入力してEnter
- 詳細設定のTOPをクリック
- user:admin, passwd:設定したパスワードを入力
- 詳細設定をクリック
- ポートマッピング設定をクリック
- 追加をクリック
- LAN側ホストのIPアドレスと開放するポート番号、優先度を数字で入力
- 設定をクリック
考察
DMZの意味
DMZはdemilitalized zoneの頭文字をとったもので、日本語では非武装地帯を意味する。 内部ネットワークと外部ネットワークの間に設定されるサブネットワークのことであり、 基本はファイアウォールの外に設置される。 DMZは外部と内部の両方のネットワークからのアクセスを許容するが、 DMZから内部ネットワークへのアクセスを禁止することで、 内部ネットワークを保護とmail, web, proxyサーバとしての機能を果たす。
DMZホスト機能の意味
DMZホスト機能は、外部からのすべてのIPをLAN内の特定のホストへ転送する機能のことで、 DMZホストに設定されると、外部からルータに届く全てのIPは設定されたホストへ転送される。
NATの意味
NATとはnetwork address transitionの頭文字をとったもので、日本語ではネットワークアドレス変換と訳される。 IPによって構築されるコンピュータネットワークで、パケットヘッダに含まれるIPアドレスを別のIPアドレスに変換する技術である。 一般には、LAN内のプライベートIPをグローバルIPの変換を意味する。現在ではアドレスだけでなくポートもセットで変換される NAPTの意味で使われている。また、LINUXにおけるNAPTの実装名であるIPマスカレードも同じ意味で使われる[Ref1]。NATとIPマスカレードの仕組みは少し異なるらしい[Ref4]。
DMZとNATのどちらを利用すべきか
DMZ方式の場合、DMZホストになるサーバは外部からのすべてのアクセスを受け付けるので、 常に攻撃される危険がある。そして、内部ネットワークを保護するために攻撃されること、侵入される可能性が高いことも事前に理解しておかなければならない。 一方、NAT方式の場合、指定したportへのアクセスのみを許可するので、攻撃される隙を大幅に減らすことができる。 大規模なLANを構成する場合は、両方を取り入れれば良いのだろうけど、数台から構成される私のおうちではNAT方式を採用することにした。 webサーバ, sshサーバはとりあえず分離すれば、開放するポートをしぼることができるので、セキュリティも向上する。ブルートフォースアタックのuserにpiが多いのは、 sshサーバにラズパイを使用している人が多いからなのかな。