ルーターまではport80でもサーバーに到達するときはポート22

お世話になります。
最近、ふと思うんですけど
ルーターまではport80でもサーバーに到達するときは任意のポートに信号を送ることって可能なんでしょうか？

これをやられると怖くて公開できないんですけど。
そんなこときいたことがないし、僕の臆病な妄想だと思いますけど、詳しい方教えて下さい。

よろしくお願い致します。

No.1 ベストアンサー 回答者： mushikingdom 回答日時： 2006/08/23 10:50

はじめまして、質問の意図を理解しがたいので下記の点にて確認させてください・

>ルーターまではport80でもサーバーに到達するときは任意のポートに信号を送ることって可能なんでしょうか？

おっしゃているのは、自宅はルータを用いたLAN構成をとっており、そのLAN内のサーバをインターネットに公開する。で、インターネットから、サーバへのHTTPのアクセスがあった時に、ルータを通過してサーバへパケットが到着したときに、ルータを通過するときはPort80宛てだったのが、サーバに到着するときはPort22宛てに改ざんすることが可能かどうかという質問の内容でよろしいのでしょうか？

もし、私の思っている内容でしたら、不可能です。そもそもネットワーク上を流れるパケット自体はただのデータの断片に過ぎず、それ自体がその様に自分のあて先portを改ざんすることなどできません。ルータから、サーバまでの間に第3者がセットしたパケットを改ざんできる機器などを通過しているのなら話しは別ですが（そんなものがあるかどうかも不明ですが）

そんなに不安なのであれば、サーバのファイアフォールなどで、インターネットからのPort22のアクセスを制限すればいいだけの話しですし。

この回答へのお礼

すみません。こちらの説明不足でした。
mushikindom様が仰っておられる通りでございます。

やはり不可能でしたか。そうですね。
そんなことができれば必ず本に書かれているでしょうからね。一応snortではLAN内アクセス以外のssh接続は拒否しています。rootでのログインも禁止にしましたし、TeraTermProでrsh暗号接続にもしました。これで大丈夫だと思うんですけど目に見えないことですから不安なんですよね。

お礼日時：2006/08/23 11:32

No.3 回答者： mushikingdom 回答日時： 2006/08/23 13:41

a-saitohさんの回答で

>ルータのNAT設定を行えば、自由自在に行なえますが、、、。

とありますが、多分使用してるルータはバッファローなどの一般メーカーのブロードバンドルータかなと思います。たいてい、それらの機種であればPort80への通信があった場合にLAN内の192.168.1.ｘにフォワーディングするなどの、ポートマッピングの機能だと思います。その様なルータでLAN内にフォワードする際に、宛先Portまで変える機能が付いているものは、私は見たことはありません。
仮にCISCOなどの高機能なルータを使用している場合では、確かに可能ですが、その場合は自宅のルータが不正にアクセスされたことになります。そうなると、サーバにSSHでのアクセスされる以前の問題なので、自宅ルータでの設定は考慮に入れておりませんでした。私の回答も足りていなかったようです。

ですので、ルータへの外部からのアクセスを強固にすることが前提ですので、インターネットからルータに対してのアクセスはすべて禁止にしておくことをお勧めします。

No.2 回答者： a-saitoh 回答日時： 2006/08/23 12:19

ルータのNAT設定を行えば、自由自在に行なえますが、、、。