私は”NET GENESYS CAT”というルーターHUBで
IPマスカレード機能を使って、パソコン数台でインターネットしています。
私はこれで、インターネットによる外部侵入者をシャットアウトできると
思っているのですが、実際の所どうなのでしょうか?

ファイアーウオールはプリンターとパソコンを数台共有している私の環境では、
とても不便なのです。

私のパソコン環境は、フレッツADSL8M+NTT西日本純正モデム。
OSは WIN XP & WIN98SE 数台
パソコン間の接続は、10BASE-T
NTTのフレッツADSL接続ソフトは使っていません。

何方か分かる方、宜しくお願い致します。

このQ&Aに関連する最新のQ&A

A 回答 (4件)

最近市販されているブロードバンド・ルータにはこのような機能がだいたい付いていると思います。


・NAT/IPマスカレード
・ファイヤーウォール(パケットフィルタリング)
ですが、この環境で完全な安全は保障されないと思ったほうがいいです。
ファイヤーウォールでは許可されたプロトコルを使った攻撃を防ぐのは苦手です。
ですがスクリプトキディと呼ばれるなんの技術のない外部侵入者に対してはある程度の効果はあると思います。
最近の市販ルータだと外部に対してHTTPやTelnetポートが開いてるような設定の製品はないみたいです。
また、TCPの未使用コネクション要求やpingに反応しないものが多く、ポートスキャンに対してもほとんど反応しないように対処されています。
お使いになっているマイクロ研究所「NET GENESYS」シリーズだとsyslog対応、javaによるフォームデータUPも出来ると思いますので、こまめなチェックをされればいかがかと思います。
    • good
    • 0
この回答へのお礼

やはり、IPマスカレードだけでは、”ある程度”の安全性なんですね。
でも、ある程度でも気持ちの上では、かなり安心できました。

お返事有り難うございました。

お礼日時:2002/03/22 12:03

サーバーにポートという穴が開いています。


通常、何らかのリクエストをサーバーにすると、
サーバー側はどのポートへのリクエストかを見極め、
妥当な要求であれば許可、そうでなければ不許可を返すます。

例:http://www.hoge.com:80
# 80は通常略されます
httpdのリクエストがあれば、サーバーはポート80(番号はサーバー側で設定)
を開く。
https://www.hoge.com:433 等も同様

またそもそも、そのサーバーが、そのリクエストに対するサービスを
動かしていない場合、予めサーバーはそのポートを閉じます。
#と言うより、閉じるべきです。

さて、前置きは終わり本題ですが、今回のように家庭用のルーターの場合は
デフォルトで、No1の方の言われるように、
>ポートを指定して飛んでくる外からの要求は弾いてしまいます。
の設定になっているは・ず・で・す。
むしろそうなっていない方が特殊(家庭でサーバー公開するときなど)
でしょう。
故に、安心です。

更にここからは余談(笑)
家庭でサーバーを公開したいときなどは、外からのリクエストを取りあえず、
唯一グローバルIPアドレスが振られている
(ISPのサービスにも寄りますが、通常は唯一でしょう)
ルータが受け、ルータの設定で、今度はその要求を特定のローカル
IPアドレスの振られているマシンのポートに返します。
そうすれば、ローカルIPアドレスしかないマシンでもサーバーを公開できると言うわけです。

さてさて、余談が長くなりましたがつまりはそう言うことです(^^;
では
    • good
    • 0
この回答へのお礼

何れは家庭にインターネットサーバーを置こうと思っているので
その点も含めて大変参考になりました。

お返事有り難うございました。

お礼日時:2002/03/22 11:56

セキュリティはIPマスカレードと云うよりIPフィルタによって保たれるケースが多いです。


TCP,UDPのポートを必要な物以外は閉じて中からも外からもデータが通らない様にしてしまうんです。
ただ、メッセンジャーなどのソフトを使うとき箱のフィルタを一部解除する必要があるので安全性は下がります。

ですからルータでのフィルタなどによるものとパソコンの方にもファイヤウォールソフトを入れておくとより安心ですよ。
    • good
    • 0
この回答へのお礼

>ですからルータでのフィルタなどによるものとパソコンの方にもファイヤウォールソフトを入れておくとより安心ですよ。

ピッキング犯罪防止でドアの鍵を2つにすると同じ意味で
やはり、ファイヤウォールソフトも検討した方がいいかもしれませんね。

お返事有り難うございました。

お礼日時:2002/03/22 11:51

IPマスカレードは別名NAT(+)とも呼ばれます。


ISPから割り振られるグローバルIPと、
LAN内のローカルIP及びポートを動的に
変換(偽装=マスカレード)する事により
ひとつのIPでの複数台同時接続を実現しています。

IPマスカレードはポートまで動的に変換してしまう為、
ポートを指定して飛んでくる外からの要求は弾いてしまいます。
これがかえってセキュリティを高める事にも繋がるのですが、
絶対安全という訳ではありません。
ここを深く突っ込まれると私の技量では解説しきれないのですが...

ただ、インターネットセキュリティに関して
共通していえるのは、利便性と安全性は(ほぼ)常に相反するという事ですね。


しょうもない回答で申し訳ありません。
    • good
    • 0
この回答へのお礼

>IPマスカレードはポートまで動的に変換してしまう為、
>ポートを指定して飛んでくる外からの要求は弾いてしまいます。

この点が気になっていましたが、やっぱり私の考えがある程度正しかったと
確認できました。
どうも有り難うございました。

お礼日時:2002/03/22 11:46

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QVPSのポート番号が漏れると脆弱性は増加する?

・VPSを借りているのですが、空けているポート番号はどれぐらい秘密にしておくべきなのでしょうか?
・例えば、サイトを訪れた人に、そのサーバで空けているポート番号を知られた場合、攻撃される恐れとかあるでしょうか?

→ポート番号は絶対に教えては駄目?
→ポート番号知ったからと言って、それだけではどうすることできない?

・そもそも他人のポート番号は、簡単には調べられないものなのでしょうか?

■環境
・CentOS

Aベストアンサー

わざわざ公開したり言いふらしてまわる必要性自体がないかと。
だいたい普通の人は他人のサーバの開いているポート番号なんざ気にしません。

アタックしたいとかそういう風に考えている人が気にするものであって、
適切に設定していなければ秘密にしていたところでさっくり調べる方法はありますし。
# nmap使えばいいだけのハナシ。(まあ、一部のポートはISP側で外にアクセスできないように規制されていることもありますが)

>サイトを訪れた人に、そのサーバで空けているポート番号を知られた場合、攻撃される恐れとかあるでしょうか?

サイト訪れなくてもてきと~にポートスキャンしているスクリプトとかもありますしねぇ。
VPSだと管理の弱い利用者が居れば、まずはそこから落とされて周辺のIP(同じVPSサービス使っている可能性がある)へと攻撃が広がっていくことでしょう。
# むか~し、期間限定で22番を内部に通していた時にさくらのVPSなアドレスからsshブルートフォースを貰いましたよ。(つまりVPSで乗っ取られたヤツが居た…ということですな。)

>→ポート番号知ったからと言って、それだけではどうすることできない?

23番ポートがあいていたらとりあえずtelnet接続しみっか~。
もしかしたらブルートフォースでログインできっかもしんね~なぁ。
と考える人はいるかもしれませんね。
22番も同様。
# 国内からなら不正アクセス禁止法で問えるかもしれませんが、国外からじゃねぇ…。
途中のルートにパケットキャプチャ仕掛けるのは難しいでしょうから、telnetやFTPでアカウント名やパスワードを途中で抜かれる。というのは考えにくいでしょうけど。

>・そもそも他人のポート番号は、簡単には調べられないものなのでしょうか?

先に書いた通り、コマンドでサクっと調べられますよ。
通らないポートもあるでしょうが。
# 元々は自分のところのセキュリティとか調べる為に使う為のコマンド…と考えるべきでしょうがね。


特定のポートに特定のパターンでアクセスがあったら、別のポートを開ける。
とかいうようなツールを仕込んである場合はコマンド1発…とは行きませんけどね。
# 「iptables ノック」辺りで検索してください。

わざわざ公開したり言いふらしてまわる必要性自体がないかと。
だいたい普通の人は他人のサーバの開いているポート番号なんざ気にしません。

アタックしたいとかそういう風に考えている人が気にするものであって、
適切に設定していなければ秘密にしていたところでさっくり調べる方法はありますし。
# nmap使えばいいだけのハナシ。(まあ、一部のポートはISP側で外にアクセスできないように規制されていることもありますが)

>サイトを訪れた人に、そのサーバで空けているポート番号を知られた場合、攻撃される恐...続きを読む

Q双方向IPマスカレードともちょっと違いますかね。。

以下の2つの簡単なシステムがあります。

システム1
  PC1(192.168.1.1/24) --- PC2(192.168.1.2/24)

システム2
  PCA(192.168.2.1/24) --- PCB(192.168.2.2/24)

PC1,PC2,PCA,PCBにはどれもデフォゲ含めルーティング設定は一切されていません。
この度PC2とPCAを廃止してPC1とPCBを接続することになりました。
ただし、PC1とPCBの設定は一切いじってくれるなという要件付です。
NICを2枚持つPCXを間にかまして簡単な通信アプリを作ってのせれば可能なんですが↓

  PC1(192.168.1.1/24) --- (192.168.1.2/24)PCX(192.168.2.1/24) --- PCB(192.168.2.2/24)

手作りせずに既成のルータか何かで実現する方法はありませんでしょうか?

Aベストアンサー

TWICE NATをかければいけます。

RFC-2663
http://rfc.netvolante.jp/rfc.php?param=2663&mode=showrfc

YAMAHAとCISCOの両方で経験あります
SSGでも、おそらくできます

Q最低限必要な開いておくべきポート番号

最低限必要な開いておくべきポート番号
インターネットに繋ぐ上で「最低限必要な開いておくべき
ポート番号のわかるページ」を探しています。
ルーターで設定するためです。どのポートを塞いでいくで
はなく、使うポートだけ開きたいためでもあります。

「メールの送受信・ホームページ作成(アップロード)・セキ
ュリティソフトで使用するポート番号、時刻あわせ等のシス
テムで使用するポート番号」のみ知りたいです。

Aベストアンサー

WAN→LAN(inbound)は、全て閉じます。
LAN→WAN(outbound)については、一般的に以下のポートを
開けます。

メール送信
→TCP25(メールサーバによってはTCP587)

メール受信
→TCP110

ホームページアップロード
→ftp(PASV)ならTCP20,TCP21
httpならTCP80

セキュリティソフトで使用するポート
→これはセキュリティソフトのアップデートに使用される
ポートのことだと思いますが、セキュリティソフトによって
異なると思います。たぶんTCP80を使用するケースが多いと思います。

時刻あわせ(NTP)
→UDP123

だいたいこんなところですが、いずれも代表的なものであり、
相手サーバによっては、あえて一般的なポート番号と
異なるポート番号でサービスを提供している場合もあります。
例えば、http://hostname:8080/ といったURLでアクセスする
Webページを利用しているのであれば、TCP8080を開ける必要があります。

なので、ルーターの設定は、たいていみんなinboundを全て閉じて、
outboundは全て開けます。
そしてoutboundの制御は、PC上にインストールしたセキュリティソフトの
機能を使って、信頼できるプログラム以外は通信を開始できないよう制御する
のが一般的だと思います。

WAN→LAN(inbound)は、全て閉じます。
LAN→WAN(outbound)については、一般的に以下のポートを
開けます。

メール送信
→TCP25(メールサーバによってはTCP587)

メール受信
→TCP110

ホームページアップロード
→ftp(PASV)ならTCP20,TCP21
httpならTCP80

セキュリティソフトで使用するポート
→これはセキュリティソフトのアップデートに使用される
ポートのことだと思いますが、セキュリティソフトによって
異なると思います。たぶんTCP80を使用するケースが多いと思います。

時刻あわせ(NTP)
→UDP123

だい...続きを読む

Qファイアーウオールについて

98SE、IE6.0使用です。最近、ファイアーウオール【ノートン2002)を有効にしているとネットにつながらなくなってしまいます。以前はなんでもなかったのですが。困っています。

Aベストアンサー

ノ‐トンナレッジべ‐スで検索してみました
1 Situation
LAN 経由でインターネットに接続している場合や、ADSL 回線・ケーブルテレビ回線などの常時接続環境でインターネットに接続している場合に、Norton Internet Security / Norton Personal Firewall が有効のままではインターネットに接続できない。また、同じ LAN 内の他のコンピュータやプリンタが認識されない。

http://service1.symantec.com/SUPPORT/INTER/nisjapanesekb.nsf/jp_docid/20030228105906947

2 Webの閲覧がNorton Internet Security 2002/ Norton Personal Firewall 2002 をインストールしたところ一切できなくなった
http://service1.symantec.com/SUPPORT/INTER/nisjapanesekb.nsf/jp_docid/20030123173822947

3 Situation
今まで問題なく利用していたが、突然ホームページが見れなくなり、メールも送受信できなくなってしまった。
http://service1.symantec.com/SUPPORT/INTER/nisjapanesekb.nsf/jp_docid/20020525181733947

考えられるものを想定して検索しました
回線などがわからない為 間違っていたらごめんなさい

なおご自身でナレッジべ‐スで検索されると
よりいっそう良い情報が得れます

ノ‐トンナレッジべ‐ス
http://www.symantec.com/region/jp/techsupp/knowledge_base.html

参考URLはNIS2002forWIN98対応のナレッジべ‐スです
ここからエラ-を入力してください

参考URL:http://www.symantec.com/region/jp/techsupp/nis/nis_2002_search_other.html

ノ‐トンナレッジべ‐スで検索してみました
1 Situation
LAN 経由でインターネットに接続している場合や、ADSL 回線・ケーブルテレビ回線などの常時接続環境でインターネットに接続している場合に、Norton Internet Security / Norton Personal Firewall が有効のままではインターネットに接続できない。また、同じ LAN 内の他のコンピュータやプリンタが認識されない。

http://service1.symantec.com/SUPPORT/INTER/nisjapanesekb.nsf/jp_docid/20030228105906947

2 Webの閲覧がNorton Internet Security...続きを読む

Qポート番号587だとウイルスチェックが機能しない

プロバイダはニフティです。
ニフティ以外のメールアドレスでも送信サーバは25番ポートを使用していたのですが、この度ポート番号587に変更しました。
すると、これまでノートンのインターネットセキュリティ2010で送信時に画面右下に表示されていたインジケーターが表示されなくなりました。
ということはポート番号587を使用すると、ウィルスチェックが行われないということになるのですが、インターネットセキュリティ2010の設定で、25番ポートと同じように、ウィルスチェックが行われ、インジケーターが表示されるようには出来るのでしょうか。
詳しい方がいらっしゃいましたらアドバイス宜しくお願い致します。

Aベストアンサー

最新版は、変化したかどうかわかりませんし、設定方法があるかは分かりませんので他の方の回答を待っていただくとして・・
以前のバージョンは、ポートが変わるとスキャンされないとあります。 ただ、ソフトが常駐しているので感染は防げるという事です。 
今回のそのポートは、送信側ですよね? 利用されているパソコンが、感染していなければ送信時はそれほど神経質にならなくても良いのではと思うのと、受信時に関しても最近はフリーメールでもサーバー側でウィルススキャンされている事が多いので、その部分に関しても神経質にならなくても・・とも思います。

「Norton サポート - お問い合わせ」
http://jp.norton.com/support/contact/contact.jsp?pvid=cs
正確な事は、サポートに聞いてみてください。

参考URL:http://updatecenter.norton.com/?inid=jp_hhobanner_updatecenter

Qネットワークに接続されていない2台のPCを、2台だけのネットワークで「

ネットワークに接続されていない2台のPCを、2台だけのネットワークで「TeamViewer」などを使う方法はありますか?

Aベストアンサー

>LANケーブルで2台をつなげば使えるのでしょうか?
使えます。この場合のTCP/IP周りの設定(IPアドレスを自動取得から固定アドレスに変更するなど)を知っている必要がありますが。

Qポート番号の振り方のルール

ネットの勉強中(趣味で)です。TCPヘッダーにあるポート番号は、例えばブラウザなどでwebページを見ようとすると、あて先ポート番号は80(HTTP)で、こちらから送る場合の発信元ポート番号は1025以上の番号だと本に書いてありましたが、80はRFCで規定されているとのことですが、では、発信元ポート番号はどのようなルールで誰が(例えばブラウザのプログラム?)が決めるのですか?ご存知でしたら教えてください。

Aベストアンサー

#2です。
ちょうどいいページがありましたのでご紹介しておきます。
こちらもご覧ください。
http://www.mm-labo.com/computer/tcpip/ipaddress/portsort.html

参考URL:http://www.mm-labo.com/computer/tcpip/ipaddress/portsort.html

Qフレッツ光 ファミリータイプを分岐する方法

おせわになります。

今いるマンションが光未対応なのでフレッツ光ファミリータイプをひくことになりました。

せっかくファミリータイプを引いて回線を独り占めするので、その回線をマンションタイプのように分岐してみたいと思いました。
イメージとしては自分の部屋の中で3分岐して、それぞれの分岐がマンションタイプの各部屋のような感じです。

このときどのような機器が必要になるのでしょうか?

もし御存知であれば教えてください。
もしくは参考になるURLがあれば教えてやっていただければと思います。

どうぞよろしくお願い致します。

Aベストアンサー

フレッツ光ファミリータイプで届くモデムはルータータイプでしたら、ハブを購入。
パソコンで認証するタイプでしたら、ルーターを購入。
ハブにしても、ルーターにしても、配線が伴うのが嫌な場合は無線を購入。

Qポート番号について教えてください

ポート番号において
(前者)IPマスカレード機能において、1つのグローバルIPアドレスで複数のコンピューターが同時に通信を行うため、ポート番号をプライベートアドレス(PC)ごとに適当に割り当てて、通信のつどポート番号を変換し、限りあるグローバルIPアドレスの枯渇を防ぐ場合と
(後者)ポートを指定し、識別番号をつけることによってどのアプリケーションでデータを受け取るかを決める場合と
同じ「ポート番号」という言葉が使われていますが、この違いはなんなのでしょうか。

自分で考えてみたのですが、
前者は、IPマスカレード機能はルーターの1つのグローバルIPアドレスを複数のポート番号に割り当てることによりLAN上の複数のプライベートIPアドレスを利用できるようにしたもので
後者は、LAM側にあるPCのプライベートIPアドレスに複数のポート番号を割り当てて同時に複数のアプリを動かすことを実現している違いでしょうか。
つまり、何に対してポート番号を割り当てるかの違いがあるかということです。

また、この2つはルーターの設定で行うと考えてよいのでしょうか。

ややこしい質問かもしれませんが、どう把握したらよいか教えてください。

ポート番号において
(前者)IPマスカレード機能において、1つのグローバルIPアドレスで複数のコンピューターが同時に通信を行うため、ポート番号をプライベートアドレス(PC)ごとに適当に割り当てて、通信のつどポート番号を変換し、限りあるグローバルIPアドレスの枯渇を防ぐ場合と
(後者)ポートを指定し、識別番号をつけることによってどのアプリケーションでデータを受け取るかを決める場合と
同じ「ポート番号」という言葉が使われていますが、この違いはなんなのでしょうか。

自分で考え...続きを読む

Aベストアンサー

>例えば、後者では、アプリが使用するポート番号で、ホームページを見るときは80番、メールを送信するときは25番を使うみたいなのですが、前者では、これをグローバルIPアドレスに割り当てるポート番号として重複して80番や25番といった番号は使えなくなってしまうのでしょうか。

80番や25番などのウェルノンポートは、「サーバ側」のポート番号です。
クライアント側は任意の(TCP/IPのドライバ等が適当に付ける)ポート番号を使用します。
ルータ側で静的マスカレードなどの設定がされている場合は、関連づけられたポート番号は「送信側ポート番号」には使用されないはずです。

Webサーバに接続したとき、クライアント側が12345番ポートからサーバ側の80番ポートに接続すると、
クライアントからの送信パケットには送信元IPアドレスにクライアントマシンのIPアドレス、送信元ポートに12345番、宛先IPアドレスにサーバのIPアドレス、宛先ポート番号に80番。
というヘッダがついて送信されます。
サーバ側からのパケットの場合、送信元IPはサーバのIP、ポート番号は80番で、宛先はクライアント側のIP、宛先ポート番号は12345番となります。
ルータはこの間に入って、宛先、送信元のそれぞれの情報を記憶、書き換えた上でパケットを中継します。
サーバ宛に送るときはIPアドレスをルータ自身のIPアドレスに、ポート番号はルータが任意に決めた番号に。
サーバから戻ってきたら宛先をクライアント側の情報に書き換えて返してくれます。

>例えば、後者では、アプリが使用するポート番号で、ホームページを見るときは80番、メールを送信するときは25番を使うみたいなのですが、前者では、これをグローバルIPアドレスに割り当てるポート番号として重複して80番や25番といった番号は使えなくなってしまうのでしょうか。

80番や25番などのウェルノンポートは、「サーバ側」のポート番号です。
クライアント側は任意の(TCP/IPのドライバ等が適当に付ける)ポート番号を使用します。
ルータ側で静的マスカレードなどの設定がされている場合は...続きを読む

QフレッツISNDのBチャネル

フレッツISDNのBチャネル(2チャネル)を1本にして
64+64=128として、1セッションで通信が可能でしょうか?
TAやルータの設定変更を行えば可能だという噂を聞きました。
教えてください。

Aベストアンサー

ISDNのBチャネルの2つ同時に使用することをマルチセッションと言います。

利用方法および設定方法はNTTの下記URLに書いてあります。

参考URL:http://flets.com/square/pppoe_multisession.html


人気Q&Aランキング

おすすめ情報