ポート転送とは何か、ルーターに設定する方法

この記事を読んでいるなら、おめでとうございます！ポート 80 および 443 (Web トラフィック用の標準のオープン ネットワーク ポート) を使用して、インターネット上の別のサーバーと正常に対話しています。これらのポートがサーバーで閉じられている場合、この記事を読むことができません。閉じたポートにより、ネットワーク (およびサーバー) がハッカーから保護されます。

私たちの Web ポートは開いている可能性がありますが、ホーム ルーターのポートは開いてはいけません。ただし、ポート転送を使用して、インターネット経由でデバイスへのアクセスを許可する必要がある場合があります。ポート フォワーディングについて理解を深めるために、次のことを知っておく必要があります。

ポートフォワーディングとは？

ポート フォワーディングは、オンライン デバイスからローカル ネットワーク上の特定のデバイスに接続試行を転送する、ローカル ネットワーク ルーター上のプロセスです。これは、ネットワーク ルーターのポート フォワーディング ルールが、ネットワーク上のデバイスの正しいポートと IP アドレスへの接続試行と一致するためです。

ローカル ネットワークにはパブリック IP アドレスが 1 つある場合がありますが、内部ネットワーク上の各デバイスには独自の内部 IP があります。ポート転送は、これ���の外部要求を A (パブリック IP と外部ポート) から B (要求されたポートとネットワーク上のデバイスのローカル IP アドレス) にリンクします。 

これが役立つ理由を説明するために、ホーム ネットワークが中世の要塞に少し似ていると想像してみましょう。あなたは壁の向こうに目を向けることができますが、他の人があなたの防御を覗いたり破ったりすることはできません。あなたは攻撃から守られています. 

統合されたネットワーク ファイアウォールのおかげで、ネットワークは同じ位置にあります。Web サイトやゲーム サーバーなどの他のオンライン サービスにアクセスすることはできますが、他のインターネット ユーザーがあなたのデバイスにアクセスすることはできません。ファイアウォールが外部接続からのネットワークへの侵入の試みを積極的にブロックするため、跳ね橋が発生します。

ただし、このレベルの保護が望ましくない状況もあります。ホーム ネットワークでサーバーを実行する場合 (たとえば Raspberry Pi を使用)、外部接続が必要です。

セキュリティを損なうことなく、これらの外部要求を特定のデバイスに転送できるため、ここでポート フォワーディングの出番です。

たとえば、内部 IP アドレスが192.168.1.12で、パブリック IP アドレスが80.80.100.110のデバイスでローカル Web サーバーを実行しているとします。ポート転送ルールのおかげで、ポート80 ( 80.90.100.110:80 ) への外部要求は許可され、トラフィックは192.168.1.12のポート 80に転送されます。

これを行うには、ポート フォワーディングを許可するようにネットワークを構成し、ネットワーク ルーターで適切なポート フォワーディング ルールを作成する必要があります。トラフィックを許可するために、 Windows ファイアウォールなど、ネットワーク上の他のファイアウォールを構成する必要がある場合もあります。

UPnP (自動ポート転送) を避けるべき理由

ローカル ネットワークでポート フォワーディングを設定することは、上級ユーザーにとっては難しくありませんが、初心者にとってはあらゆる種類の問題を引き起こす可能性があります。この問題を解決するために、ネットワーク デバイス メーカーは、 UPnP (またはユニバーサル プラグ アンド プレイ)と呼ばれるポート フォワーディング用の自動システムを作成しました。

UPnP の背後にある考え方は、インターネットベースのアプリやデバイスがルーターにポート転送ルールを自動的に作成して、外部トラフィックを許可できるようにすることでした (現在もそうです)。たとえば、UPnP は自動的にポートを開き、ルーター設定でアクセスを手動で構成する必要なく、ゲーム サーバーを実行しているデバイスのトラフィックを転送します。

コンセプトは素晴らしいのですが、残念なことに、非常に危険ではないにしても、実行には欠陥があります。UPnP は、ネットワーク上で実行されているアプリやサービスが安全であると自動的に想定するため、マルウェアの夢です。UPnPハッキング Web サイトは 、今日でもネットワーク ルーターに容易に含まれる多くの不安要素を明らかにしています。

セキュリティの観点からは、注意を怠るのが最善です。ネットワークのセキュリティを危険にさらすのではなく、自動ポート転送に UPnP を使用しないでください (可能であれば、完全に無効にしてください)。代わりに、信頼でき、既知の脆弱性がないアプリとサービスに対してのみ、手動ポート転送ルールを作成する必要があります。

ネットワークでポート転送を設定する方法

UPnP を使用せずに手動でポート フォワーディングを設定したい場合は、通常、ルーターの Web 管理ページから設定できます。これにアクセスする方法がわからない場合は、通常、ルーターの底面に記載されているか、ルーターのマニュアルに記載されている情報を見つけることができます。

ルーターのデフォルト ゲートウェイ アドレスを使用して、ルーターの管理ページに接続できます。通常、これは192.168.0.1または類似のバリエーションです。このアドレスを Web ブラウザのアドレス バーに入力します。また、ルーターに付属のユーザー名とパスワード (例: admin )を使用して認証する必要があります。

DHCP 予約を使用した静的 IP アドレスの構成

ほとんどのローカル ネットワークは、動的 IP 割り当てを使用して、接続するデバイスに一時的な IP アドレスを割り当てます。一定時間が経過すると、IP アドレスが更新されます。これらの一時的な IP アドレスはリサイクルされて別の場所で使用される可能性があり、デバイスには別のローカル IP アドレスが割り当てられている可能性があります。

ただし、ポート フォワーディングでは、ローカル デバイスに使用される IP アドレスが同じままである必要があります。静的 IP アドレスは手動で割り当てることができますが、ほとんどのネットワーク ルーターでは、DHCP 予約を使用して、ルーターの設定ページで特定のデバイスに静的 IP アドレスの割り当てを割り当てることができます。

残念ながら、ルーターの製造元はそれぞれ異なり、以下のスクリーンショット (TP-Link ルーターを使用して作成) に示されている手順は、お使いのルーターと一致しない場合があります。その場合は、ルーターのドキュメントを参照して詳細を確認する必要がある場合があります。

まず、Web ブラウザーを使用してネットワーク ルーターの Web 管理ページにアクセスし、ルーターの管理者のユーザー名とパスワードを使用して認証します。サインインしたら、ルーターの DHCP 設定領域にアクセスします。

すでに接続されているローカル デバイスをスキャンできる場合があります (必要な割り当てルールを自動入力するため)、または静的 IP を割り当てるデバイスに特定の MAC アドレスを指定する必要がある場合があります。使用する正しい MAC アドレスと IP アドレスを使用してルールを作成し、エントリを保存します。

新しいポート フォワーディング ルールの作成

デバイスに静的 IP (手動で設定するか、DHCP 割り当て設定で予約済み) がある場合は、ポート フォワーディング ルールの作成に進むことができます。この条件は異なる場合があります。たとえば、一部の TP-Link ルーターはこの機能をVirtual Serversと呼びますが、Cisco ルーターは標準名 ( Port Forwarding )で呼びます。

ルーターの Web 管理ページの適切なメニューで、新しいポート フォワーディング ルールを作成します。ルールには、外部ユーザーが接続する外部ポート (またはポート範囲) が必要です。このポートは、パブリック IP アドレスにリンクされています (たとえば、パブリック IP 80.80.30.10のポート80 )。

また、外部ポートからのトラフィックを転送する内部ポートを決定する必要があります。これは、同じポートまたは代替ポート (トラフィックの目的を隠すため) である可能性があります。また、ローカルデバイスの静的 IP アドレス(例: 192.168.0.10 ) と使用中のポート プロトコル (例: TCP または UDP) を提供する必要があります。

ルーターによっては、必要なルール データを自動的に入力するサービス タイプを選択できる場合があります (例:ポート 80 のHTTPまたはポート 443 のHTTPS )。ルールを構成したら、保存して変更を適用します。

追加の手順

ネットワーク ルーターは、変更をファイアウォール ルールに自動的に適用します。開いているポートへの外部接続試行は、作成したルールを使用して内部デバイスに転送する必要がありますが、複数のポートまたはポート範囲を使用するサービスに対して追加のルールを作成する必要がある場合があります。

問題が発生した場合は、PC または Mac のソフトウェア ファイアウォール (Windows ファイアウォールを含む) に追加のファイアウォール ルールを追加して、トラフィックの通過を許可することも検討する必要があります。たとえば、Windows ファイアウォールは通常、外部接続を許可しないため、Windows の [設定] メニューでこれを構成する必要がある場合があります。

Windows ファイアウォールが原因で問題が発生している場合は、調査のために一時的に無効にすることができます。ただし、セキュリティ リスクがあるため、問題のトラブルシューティングを行った後、Windows ファイアウォールを再度有効にすることをお勧めします。

ホーム ネットワークを保護する

ポート フォワーディングの設定方法は学習しましたが、リスクを忘れないでください。開くポートごとに、ルーターのファイアウォールを通過する別の穴が追加され、ポート スキャン ツールが検出して悪用する可能性があります。特定のアプリやサービスのポートを開く必要がある場合は、侵害される可能性のある巨大なポート範囲ではなく、個々のポートに限定してください。

ホーム ネットワークが心配な場合は、サードパーティのファイアウォールを追加してネットワーク セキュリティを強化できます。これは、PC または Mac にインストールされたソフトウェア ファイアウォール、またはすべてのデバイスを一度に保護するためにネットワーク ルーターに接続されたFirewalla Goldのような年中無休のハードウェア ファイアウォールである可能性があります。