別々の共有フォルダに接続したい

職場のＬＡＮにある２つのＰＣにそれぞれ共有フォルダがあります。外部からルーター経由で共有フォルダを使い分けしたいのですが。ポート番号を指定して（静的ＩＰマスカレード）ＰＣを特定できるとの意味はわかるのですが実際に外部のＰＣから接続する場合のポートの指定方法がわかりません。グローバルＩＰはどちらも取得済みです。
やっとＮＡＴ等が分かり始めてきた程度の知識しかありません。よろしくお願いします。

No.2 ベストアンサー 回答者： sunrize 回答日時： 2004/03/09 18:22

＞ＮＡＴ変換でポート3389番の接続を

＞ＬＡＮ内のＰＣ１（192.168.1.52）に変換。
＞その他のポートへの接続を全て（*になってます）をＰＣ１（192.168.1.52）に設定しております。

　お気づきかもしれませんが、この設定だと、すべての接続が192.168.1.52にNAT変換接続される形になってます。そのため、１つ目の設定が意味の無いものになっています。
　しかしすべての通信が192.168.1.52へ接続してくれますので、結果、すべての通信ができる形になります。ファイル共有ができるものこのためです。

＞要は外部から接続する際にポート番号を指定できればルーターの方で任意のＰＣにつないでくれると言うのは安易でしょうか？

　それがNAT変換の機能ですので間違ってはいないですよ。しかし、ポートを指定することができなければNATを使った変換はできません。マイクロソフトネットワーク共有サービスはTCP139からしか接続できませんので
結果、ポートの使い分けで振り替えることができないのです。

　ただし、ルータのNAT変換の設定を遠隔で操作することで、振り替えると言うことは可能だと思います。切り替えるために、設定を変更しないといけない点は手間がかかりますが、使い分けを行う方法としては最もコストのかからない方法だと思います。

　設定の方法は、まずルーターの設定を外部から設定できるように規制を解除します。その後、ルーターのNAT変換設定に
UDP　137-138
TCP　139
TCP　445
その他必要なポート（3389など）
をNAT変換でPC1、もしくはPC2に設定するだけです。

　注意点は、ポートを＊（すべて）にしてしまいますと、ルーターへの接続がNAT変換でPC*に変換されてしまうため遠隔操作できなくなります。ご注意ください。
　それと、外部からフォルダに直接アクセスできるようになりますので、セキュリティーは著しく低下します。
　IPフィルタリング設定などで、アクセスできるIPアドレスを指定されないと、外部からの不正なアクセスを免れません。
　現状でも同じですので、もしフィルタリングをされていないようであれば、PC1は無防備な状態です。今すぐにでも設定されることをお勧めします。


　ちなみに、WINDOWSのファイル共有は基本的にローカルエリア内でしか利用できない仕組みになっています。
　softetherですべてのPCが認識できなかったのもそのためでしょう、しかしIPアドレスを直に指定する方法だと、たしか、接続はできたはずです。
　指定の方法は、エクスプローラーのアドレスバーに「\\192.168.1.???」と入力するだけです。

この回答へのお礼

ありがとうございます。
正直本質が分かっていませんでした。
現在の設定は実は某業者が行っていったものでした。
セキュリティーもかなり甘くなっているんですね。
早速設定を変えたいと思います。softetherに関しても謎が解けました。
ファイル共有はローカルエリア内だけなのですね。

大変参考になりました。ありがとうございました。

お礼日時：2004/03/10 08:27

No.1 回答者： sunrize 回答日時： 2004/03/09 10:35

まず、共有フォルダですが、WINDOWSの共有フォルダに使用するポートはTCPやUDPの137～139あたりと445です。

ですので、NAT変換で、あるポート番号にアクセスしてきたら137などへ変換する、と言った内容でPCを区別することは論理的には可能ですが、共有フォルダのアクセスにポート番号を指定してアクセスする方法が無いので、実際は無理でしょう。

通常、外部からファイルの操作などを行う場合はいろいろな方法がありますが、一般的にはFTPサーバーなどを利用して行います。ただ、上記の方法は多少設定がややこしいです。

その他の方法として、VPNで社内ネットと外部を接続すると言う方法があります。
これだと、社内と外部が直接繋がった様な形になり、普通に「\\192.168.0.10」と言った様なアドレスをネットワーク共有のアドレスに記載するだけでアクセスできるようになります。また、LMHOSTSやWINSサーバーを併用することによりIPアドレスではなく、ホスト名でアクセスできるようになります。
ただ、デメリットとして、それを実現するためには、VPN構成のための機器が必要になります。（VPNルーターなど）
ただ、最近ではSoftEtherなるソフトで上記のようなことが実現できるようです。しかし、このソフトは、一歩使い方を間違えると、大変大きなセキュリティーホールにもなりかねません。ある意味、「諸刃の剣」のような性質を持っていますが、外部から社内ネットワークへ接続する方法として、構築するに当たり大変安価で構築できるため、有用ではあると思います。

詳しくは
http://www.softether.com/jp/
にて説明されております。

以上、ご参考になれば幸いです。

参考URL：http://www.softether.com/jp/

この回答へのお礼

回答ありがとうございます。
現在の状況を詳しく申し上げます。
ＮＡＴ変換でポート3389番の接続を
ＬＡＮ内のＰＣ１（192.168.1.52）に変換。
その他のポートへの接続を全て（*になってます）をＰＣ１（192.168.1.52）に設定しております。

リモートデスクトップもできますが、そのＰＣ１の共有フォルダにもアクセスすることはできます。
このＰＣ１と同じＬＡＮのＰＣ２（192.168.1.55）の共有フォルダに接続したいのです。

ＰＣ１に接続できるのでＰＣ２にも接続できると考えましたが指定の仕方が今一つわかりません。

ルーターでの設定で解決できるのではと簡単に考えたのです。
要は外部から接続する際にポート番号を指定できればルーターの方で任意のＰＣにつないでくれると言うのは安易でしょうか？

softetherは以前に試した事があるのですが相手ＬＡＮの数台のＰＣが見えただけで全てのworkgroupのＰＣを認識できずにあきらめました。また、セキュリティーも不安でしたので。

お礼日時：2004/03/09 11:08