ポートフォワーディングとは何ですか?ルーターに設定する方法

公開: 2021-05-23

この記事を読んでいるなら、おめでとうございます! Webトラフィック用の標準のオープンネットワークポートであるポート80および443を使用して、インターネット上の別のサーバーと正常に対話しています。 これらのポートがサーバーで閉じられていると、この記事を読むことができなくなります。 閉じたポートは、ネットワーク(およびサーバー)をハッカーから保護します。

Webポートは開いている可能性がありますが、ホームルーターのポートは開いてはいけません。これは、悪意のあるハッカーに穴を開けるからです。 ただし、ポートフォワーディングを使用して、インターネット経由でデバイスへのアクセスを許可する必要がある場合があります。 ポートフォワーディングについてさらに学ぶために、知っておくべきことは次のとおりです。

目次

    ポートフォワーディングとは何ですか?

    ポート転送は、オンラインデバイスからローカルネットワーク上の特定のデバイスに接続試行を転送するローカルネットワークルーター上のプロセスです。 これは、ネットワーク上のデバイスの正しいポートとIPアドレスに対して行われた接続試行と一致するネットワークルーターのポート転送ルールのおかげです。

    ローカルネットワークには単一のパブリックIPアドレスがある場合がありますが、内部ネットワーク上の各デバイスには独自の内部IPがあります。 ポートフォワーディングは、これらの外部要求をA(パブリックIPおよび外部ポート)からB(ネットワーク上のデバイスの要求されたポートおよびローカルIPアドレス)にリンクします。

    これが役立つ理由を説明するために、ホームネットワークが中世の要塞に少し似ていると想像してみましょう。 あなたは壁の向こう側を見渡すことができますが、他の人はあなたの防御を覗き込んだり破ったりすることはできません。あなたは攻撃から安全です。

    統合されたネットワークファイアウォールのおかげで、ネットワークは同じ位置にあります。 Webサイトやゲームサーバーなどの他のオンラインサービスにアクセスすることはできますが、他のインターネットユーザーはその見返りにデバイスにアクセスすることはできません。 ファイアウォールが外部接続からのネットワーク侵害の試みを積極的にブロックするため、跳ね橋が上がります。

    ただし、このレベルの保護が望ましくない場合もあります。 ホームネットワーク上で(たとえば、Raspberry Piを使用して)サーバーを実行する場合は、外部接続が必要です。

    これがポートフォワーディングの出番です。セキュリティを損なうことなく、これらの外部リクエストを特定のデバイスに転送できるからです。

    たとえば、パブリックIPアドレスが80.80.100.110であるのに対し、内部IPアドレスが192.168.1.12のデバイスでローカルWebサーバーを実行していると仮定します。 ポート転送ルールのおかげで、ポート8080.90.100.110:80 )への外部要求が許可され、トラフィックは192.168.1.12ポート80に転送されます。

    これを行うには、ポート転送を許可するようにネットワークを構成してから、ネットワークルーターで適切なポート転送ルールを作成する必要があります。 トラフィックを許可するために、Windowsファイアウォールなど、ネットワーク上に他のファイアウォールを構成する必要がある場合もあります。

    UPnP(自動ポート転送)を避けるべき理由

    ローカルネットワークにポートフォワーディングを設定することは、上級ユーザーにとっては難しいことではありませんが、初心者にとってはあらゆる種類の問題を引き起こす可能性があります。 この問題を克服するために、ネットワークデバイスメーカーは、 UPnP (またはユニバーサルプラグアンドプレイ)と呼ばれるポート転送用の自動システムを作成しました。

    UPnPの背後にある考え方は、インターネットベースのアプリとデバイスがルーター上にポート転送ルールを自動的に作成して外部トラフィックを許可できるようにすることでした。 たとえば、UPnPは、ルーター設定でアクセスを手動で構成しなくても、ゲームサーバーを実行しているデバイスのポートを自動的に開き、トラフィックを転送する場合があります。

    コンセプトは素晴らしいですが、悲しいことに、実行には欠陥があります。非常に危険ではないにしても。 UPnPは、ネットワーク上で実行されているアプリやサービスが安全であると自動的に想定するため、マルウェアの夢です。 UPnPハッキングWebサイト 今日でも、ネットワークルーターに容易に含まれる不安の数を明らかにします。

    セキュリティの観点から、注意を怠るのが最善です。 ネットワークセキュリティを危険にさらすのではなく、自動ポート転送にUPnPを使用しないでください(可能な場合は、完全に無効にしてください)。 代わりに、信頼でき、既知の脆弱性がないアプリとサービスの手動ポート転送ルールのみを作成する必要があります。

    ネットワークでポートフォワーディングを設定する方法

    UPnPを回避していて、ポートフォワーディングを手動で設定する場合は、通常、ルーターのWeb管理ページから設定できます。 これにアクセスする方法がわからない場合は、通常、ルーターの下部にあるか、ルーターのドキュメントマニュアルに記載されている情報を見つけることができます。

    ルーターのデフォルトゲートウェイアドレスを使用して、ルーターの管理ページに接続できます。 これは通常、 192.168.0.1または同様のバリエーションです。このアドレスをWebブラウザのアドレスバーに入力します。 また、ルーターに付属のユーザー名とパスワード( adminなど)を使用して認証する必要があります。

    DHCP予約を使用した静的IPアドレスの構成

    ほとんどのローカルネットワークは、動的IP割り当てを使用して、接続するデバイスに一時IPアドレスを割り当てます。 一定時間後、IPアドレスが更新されます。 これらの一時IPアドレスはリサイクルされて他の場所で使用される可能性があり、デバイスには別のローカルIPアドレスが割り当てられている可能性があります。

    ただし、ポートフォワーディングでは、ローカルデバイスに使用されるIPアドレスが同じままである必要があります。 静的IPアドレスは手動で割り当てることができますが、ほとんどのネットワークルーターでは、DHCP予約を使用して、ルーターの設定ページで特定のデバイスに静的IPアドレスを割り当てることができます。

    残念ながら、ルーターの製造元はそれぞれ異なり、以下のスクリーンショット(TP-Linkルーターを使用して作成)に示されている手順は、ルーターと一致しない場合があります。 その場合は、ルーターのドキュメントを調べてサポートを強化する必要があります。

    まず、Webブラウザを使用してネットワークルーターのWeb管理ページにアクセスし、ルーターの管理者のユーザー名とパスワードを使用して認証します。 サインインしたら、ルーターのDHCP設定領域にアクセスします。

    すでに接続されているローカルデバイスをスキャンできる場合(必要な割り当てルールを自動入力するため)、または静的IPを割り当てるデバイスに特定のMACアドレスを指定する必要がある場合があります。 使用する正しいMACアドレスとIPアドレスを使用してルールを作成し、エントリを保存します。

    新しいポート転送ルールの作成

    デバイスに静的IP(手動で設定またはDHCP割り当て設定で予約済み)がある場合は、移動してポート転送ルールを作成できます。 この条件は異なる場合があります。 たとえば、一部のTP-Linkルーターはこの機能を仮想サーバーと呼びますが、Ciscoルーターは標準名(ポートフォワーディング)で呼びます。

    ルーターのWeb管理ページの正しいメニューで、新しいポート転送ルールを作成します。 このルールでは、外部ユーザーが接続する外部ポート(またはポート範囲)が必要になります。 このポートは、パブリックIPアドレスにリンクされています(たとえば、パブリックIP 80.80.30.10の場合はポート80 )。

    また、外部ポートからトラフィックを転送する内部ポートを決定する必要があります。 これは、同じポートまたは代替ポート(トラフィックの目的を隠すため)である可能性があります。 また、ローカルデバイスの静的IPアドレス(例: 192.168.0.10 )と使用中のポートプロトコル(例:TCPまたはUDP)を提供する必要があります。

    ルーターによっては、サービスタイプを選択して、必要なルールデータを自動的に入力できる場合があります(たとえば、ポート80の場合はHTTP 、ポート443の場合はHTTPS )。 ルールを構成したら、それを保存して変更を適用します。

    追加の手順

    ネットワークルーターは、ファイアウォールルールに変更を自動的に適用する必要があります。 開いているポートに対して行われた外部接続の試行は、作成したルールを使用して内部デバイスに転送する必要がありますが、複数のポートまたはポート範囲を使用するサービスに対して追加のルールを作成する必要がある場合があります。

    問題が発生した場合は、トラフィックが通過できるように、PCまたはMacのソフトウェアファイアウォール(Windowsファイアウォールを含む)にファイアウォールルールを追加することも検討する必要があります。 たとえば、Windowsファイアウォールは通常、外部接続を許可しないため、Windowsの[設定]メニューでこれを構成する必要がある場合があります。

    Windowsファイアウォールが問題を引き起こしている場合は、一時的に無効にして調査することができます。 ただし、セキュリティ上のリスクがあるため、問題のトラブルシューティング後にWindowsファイアウォールを再度有効にすることをお勧めします。これにより、ハッキングの試みに対する保護が強化されます。

    ホームネットワークの保護

    ポートフォワーディングの設定方法を学びましたが、リスクを忘れないでください。 開いたポートごとに、ルーターのファイアウォールを越えて、ポートスキャンツールが見つけて悪用できる別の穴が追加されます。 特定のアプリやサービスのポートを開く必要がある場合は、侵害される可能性のある巨大なポート範囲ではなく、個々のポートに制限するようにしてください。

    ホームネットワークが心配な場合は、サードパーティのファイアウォールを追加することでネットワークセキュリティを強化できます。 これは、PCまたはMacにインストールされているソフトウェアファイアウォール、またはすべてのデバイスを一度に保護するためにネットワークルーターに接続されているFirewallaGoldなどの24時間年中無休のハードウェアファイアウォールである可能性があります。