ルーターでポートをフォワーディングするには、ルーターにログインし、「ポートフォワーディング」セクションを見つけて、ホストに使用しているデバイスに適用されるルールを作成します。また、ホストコンピュータに静的IPアドレスを割り当てる必要があります。
最新のWi-Fiルーターはほとんどの機能を自動的に処理しますが、一部のアプリケーションでは、ルーターの設定でポートを手動でフォワーディングする必要があります。幸いなことに、どこを見ればよいかわかっていれば、ルーターでポートをフォワーディングするのは非常に簡単です。
ポートフォワーディングとは何ですか?
ポートフォワーディング(またはポートマッピング)により、インターネットからの外部トラフィックが、プライベートネットワーク上のコンピュータなどのデバイスに接続できます。
たとえば、コンピュータで友達のためにMinecraftサーバーをホストしたいとします。友達が接続しようとすると、ネットワーク上の正しいコンピュータにトラフィックが送信され、ルーターによって接続が許可される必要があります。ルーターはポートフォワーディングルールを使用して、Minecraftサーバーに関連するトラフィックを送信するコンピュータを振り分けます。もちろん、ゲームサーバーだけではありません。インターネットトラフィックが関与していれば、ポートが関与しています。
それがどのように起こるかを詳しく見てみましょう。
ルーターがリクエストを処理し、ポートを使用する方法
簡単なホームネットワークのマップを次に示します。クラウドアイコンは、より大きなインターネットと、パブリックまたは前方に向けたインターネットプロトコル(IP)アドレスを表しています。このIPアドレスは、世界から見たあなたの世帯全体を表しています。ある意味、住所のようなものです。
赤いアドレス192.1.168.1は、ネットワーク内のルーターアドレスです。追加のアドレスはすべて、画像の下部に表示されているコンピュータに属しています。パブリックIPアドレスが住所のようなものである場合、内部IPアドレスはその住所のアパート番号のようなものだと考えてください。
この図は、これまで考えたことがなかったかもしれない興味深い問題を提起します。インターネットからのすべての情報が、ネットワーク内の正しいデバイスにどのように到達するのでしょうか?ノートパソコンでhowtogeek.comにアクセスすると、すべてのパブリックIPアドレスが同じデバイスに対して、ノートパソコンに表示されて、息子のデスクトップには表示されないのはなぜですか?
これは、ネットワークアドレス変換(NAT)として知られるルーティングマジックのおかげです。この機能は、ルーターレベルで発生します。NATは交通整理係のように機能し、ルーターを介したネットワークトラフィックの流れを制御します。これにより、1つのパブリックIPアドレスをルーターの背後にあるすべてのデバイスで共有できます。NATのおかげで、世帯の全員が同時にWebサイトやその他のインターネットコンテンツをリクエストでき、すべてが正しいデバイスに配信されます。
では、このプロセスにポートはどこから来るのでしょうか?ポートは、ネットワークコンピューティングの初期から残っている古くて便利なものです。当時は、コンピュータは一度に1つのアプリケーションしか実行できなかったので、ネットワーク上の別のコンピュータを1つのコンピュータにポイントするだけで、同じアプリケーションを実行しているため接続できました。コンピュータが複数のアプリケーションを実行できるほど高度になると、初期のコンピュータ科学者は、アプリケーションが正しいアプリケーションに接続されるようにするという問題に取り組まなければなりませんでした。こうして、ポートが生まれました。
一部のポートには、コンピューティング業界全体で標準となっている特定のアプリケーションがあります。たとえば、Webページを取得するときは、ポート80が使用されます。受信コンピュータのソフトウェアは、ポート80がhttpドキュメントの配信に使用されていることを認識しているため、そこでリッスンしてそれに応じて応答します。別のポート(たとえば143)を通じてhttpリクエストを送信すると、Webサーバーはそのポートでリッスンしていないため、認識しません(ただし、そのポートでリッスンしている可能性のあるもの、たとえばIMAPメールサーバーは、従来そのポートを使用します)。
他のポートには事前に割り当てられた用途はなく、好きな用途に使用できます。他の標準に準拠したアプリケーションとの干渉を避けるために、これらの代替構成には大きな数字を使用するのが最適です。たとえば、Plex Media Serverはポート32400を使用し、Minecraftサーバーは25565を使用します。どちらの番号もこの「フェアゲーム」の領域に分類されます。
各ポートは、TCPまたはUDPを介して使用できます。TCP(Transmission Control Protocol)は、最も一般的に使用されるものです。UDP(User Datagram Protocol)は、1つの大きな例外を除いて、家庭用アプリケーションではあまり使用されていません。それはBitTorrentです。何がリッスンしているかに応じて、これらのプロトコルのいずれかまたは両方でリクエストが行われることが期待されます。
ポートをフォワーディングする必要がある理由
では、なぜポートをフォワーディングする必要があるのでしょうか?一部のアプリケーションはNATを利用して独自のポートを設定し、すべての構成を処理しますが、そうしないアプリケーションはまだまだたくさんあります。サービスやアプリケーションを接続する際には、ルーターを手伝う必要があります。
下の図では、簡単な前提から始めます。あなたは世界中のどこかでノートパソコンを持っており(IPアドレスは987.76.54.123です)、ホームネットワークに接続していくつかのファイルにアクセスしたいと考えています。使用しているツール(FTPクライアントやリモートデスクトップアプリケーションなど)にホームIPアドレス(123.45.67.891)を単純に接続し、そのツールが先に述べた高度なルーター機能を利用していない場合、運が悪くなります。リクエストを送信する場所がわからず、何も起こりません。
ちなみに、これは素晴らしいセキュリティ機能です。誰かがあなたのホームネットワークに接続し、有効なポートに接続されていない場合、接続が拒否されることを望んでいます。これは、ルーターのファイアウォール要素が機能していることを示しています。歓迎されないリクエストを拒否します。ただし、仮想のドアをノックしている人があなたである場合、拒否はそれほど歓迎されず、少し調整する必要があります。
その問題を解決するには、ルーターに「このプログラムでアクセスするときは、このポートでこのデバイスに送信する必要があります」と伝えます。これらの指示がある場合、ルーターはホームネットワーク上の正しいコンピュータとアプリケーションにアクセスできるようになります。
この例では、外出先でノートパソコンを使用しているときに、別のポートを使用してリクエストを行います。ポート22を使用してホームネットワークのIPアドレスにアクセスすると、ホームのルーターはこれがネットワーク内の192.168.1.100に移動する必要があることを認識します。次に、LinuxインストールのSSHデーモンが応答します。同時に、ポート80を介してリクエストを行うことができ、ルーターは192.168.1.150で実行しているWebサーバーに送信します。または、VNCを使用して妹のラップトップをリモートで制御しようとすると、ルーターは192.168.1.200のラップトップに接続されます。このようにして、ポートフォワーディングルールを設定したすべてのデバイスに簡単に接続できます。
ポートフォワーディングの有用性はそれだけではありません!既存のサービスのポート番号を明確かつ便利に変更するためにポートフォワーディングを使用することもできます。たとえば、ホームネットワークで2つのWebサーバーを実行しており、1つはすぐにアクセスでき、明らかである(人々が簡単に検索できる天気サーバーなど)が、もう1つのWebサーバーは個人的なプロジェクト用であるとします。
パブリックポート80からホームネットワークにアクセスすると、ルーターに192.168.1.150の天気サーバーのポート80に送信するように指示できます。そこでポート80でリッスンされます。ただし、ポート10,000を介してアクセスする場合は、ポート80に移動するようにルーターに指示できます。これは、192.168.1.250の個人サーバーです。このように、2台目のコンピュータを別のポートを使用するように再構成する必要はありませんが、トラフィックを効果的に管理できます。同時に、最初のWebサーバーをポート80にリンクしたままにすることで、前述の天気サーバープロジェクトにアクセスする人々がより簡単にアクセスできるようにします。
ポートフォワーディングとは何か、なぜポートフォワーディングを使用したいのかがわかったところで、実際に構成する前にポートフォワーディングに関するいくつかの小さな考慮事項を見てみましょう。
ルーターを構成する前の考慮事項
ルーターを構成して事前にそれらを処理する前に覚えておくべきことがいくつかあります。これにより、フラストレーションが軽減されます。
デバイスの静的IPアドレスを設定する
まず第一に、ルーターのDHCPサービスによって割り当てられた動的IPアドレスを持つデバイスにポートフォワーディングルールを割り当てると、すべてのポートフォワーディングルールが機能しなくなります。DHCPとは何かについては、DHCPと静的IPアドレスの割り当てに関するこの記事で詳しく説明していますが、ここでは簡単なまとめを紹介します。
ルーターには、デバイスがネットワークに参加したり離脱したりするときに配布するために予約されたアドレスのプールがあります。到着したときに食堂で番号を取得するようなものだと考えてください。ノートパソコンが参加すると、ブーム、IPアドレス192.168.1.98を取得します。iPhoneが参加すると、ブーム、アドレス192.168.1.99を取得します。これらのデバイスをしばらくオフラインにしたり、ルーターを再起動したりすると、IPアドレスの抽選がすべて最初からやり直されます。
通常の状況では、これは十分です。iPhoneはどの内部IPアドレスを持っているかを気にしません。しかし、ゲームサーバーが特定のIPアドレスにあると示すポートフォワーディングルールを作成し、ルーターが新しいIPアドレスを付与すると、そのルールは機能せず、誰もゲームサーバーに接続できなくなります。これを回避するには、ポートフォワーディングルールを割り当てるネットワークデバイスごとに静的IPアドレスを割り当てる必要があります。これを行う最良の方法は、ルーターを使用することです。
IPアドレスを認識する(および動的DNSアドレスを設定する)
ネットワーク内の関連デバイスに静的IP割り当てを使用することに加えて、外部IPアドレスも認識しておく必要があります。ホームネットワークに接続している間にwhatismyip.comにアクセスすることで見つけることができます。数か月または1年以上同じパブリックIPアドレスを使用できる可能性がありますが、パブリックIPアドレスは変更される可能性があります(インターネットサービスプロバイダーが静的なパブリックIPアドレスを明示的に付与していない場合)。言い換えれば、使用しているリモートツールに数値IPアドレスを入力する(またはそのIPアドレスを友人に渡す)ことはできません。
さて、家を出るたびに手動でそのIPアドレスを確認して、自宅から離れて作業する(または友人がMinecraftサーバーなどに接続するたびに)手間をかけることはできますが、それは大きな頭痛の種です。代わりに、Dynamic DNSサービスを設定することを強くお勧めします。これにより、(変更される)ホームIPアドレスをmysuperawesomeshomeserver.dynu.netなどの記憶しやすいアドレスにリンクできます。
ローカルファイアウォールに注意する
ルーターレベルでポートフォワーディングを設定したら、コンピュータのファイアウォールルールを調整する必要がある場合があります。たとえば、長年にわたり、イライラした親から、子供たちが友達とMinecraftをプレイできるようにポートフォワーディングを設定するためのメールをたくさん受け取りました。ほとんどの場合、ルーターでポートフォワーディングルールを正しく設定したにもかかわらず、Javaプラットフォーム(Minecraftを実行)がより大きなインターネットにアクセスできるかどうかを尋ねるWindowsファイアウォールのリクエストを誰かが無視したことが問題です。
ローカルファイアウォールやファイアウォール保護を含むアンチウイルスソフトウェアを実行しているコンピュータでは、設定した接続が正常であることを確認する必要があることに注意してください。
ルーターでポートフォワーディングを設定する方法
ルーターでポートフォワーディングを構成できます。基本を理解したら、かなり簡単です。
所有しているルーターの正確なモデルの正確な指示を提供したいのですが、実際には、すべてのルーターメーカーが独自のソフトウェアを持っており、そのソフトウェアの外観はルーターのモデルによっても異なる場合があります。
一般に、「ポートフォワーディング」と呼ばれるものを探すことになります。見つけるためにさまざまなカテゴリを調べる必要があるかもしれませんが、ルーターが優れていれば、そこにあるはずです。ほとんどのルーターは、デスクトップソフトウェアやインターフェイスに加えて、アプリも提供しています。
手順1:ルーターのポートフォワーディングルールを見つける
すべてのパターンをキャプチャしようとするのではなく、メニューがどのように見えるかを示すためにいくつかのパターンを強調し、特定のルーターのマニュアルまたはオンラインヘルプファイルを参照して詳細を確認することをお勧めします。
比較のために、XfinityアプリのxFiゲートウェイのポートフォワーディングメニューを次に示します。
そして、一般的なサードパーティのDD-WRTファームウェアを実行しているD-Link DIR-890Lのポートフォワーディングメニューを次に示します。
ご覧のとおり、2つのビュー間の複雑さは大きく異なります。さらに、メニュー内の場所は完全に異なります。そのため、マニュアルまたは検索クエリを使用してデバイスの正確な指示を調べるのが最も便利です。
メニューが見つかったら、実際のルールを設定します。
手順2:ポートフォワーディングルールを作成する
ポートフォワーディング、ホームIPアドレスの動的DNSのセットアップ、その他の作業についてすべてを学んだ後、重要な手順である実際のルールの作成は、公園を散歩するようなものです。ルーターのポートフォワーディングメニューで、Subsonicミュージックサーバーと新しく設定したMinecraftサーバーの2つの新しいポートフォワーディングルールを作成します。
異なるルーターソフトウェアの場所の違いにもかかわらず、一般的な入力は同じです。ほとんどの場合、ポートフォワーディングルールに名前を付けます。サーバーまたはサービスの名前を付けて、必要に応じて明確にするために追加するのが最適です(たとえば、複数のWebサーバーがある場合は「Webサーバー」または「Webサーバー-天気」)。冒頭で説明したTCP/UDPプロトコルを覚えていますか?TCP、UDP、またはその両方も指定する必要があります。セキュリティを目的として、すべてのアプリケーションとサービスがどのプロトコルを使用しているかを正確に把握し、すべてを完全に一致させることに非常に熱心な人もいます。私たちはこれが面倒であることを最初に認めますし、ほとんどの場合、時間節約のため「両方」を選択するだけです。
上記のスクリーンショットで使用しているより高度なDD-WRTを含む一部のルーターファームウェアでは、セキュリティを目的としてポートフォワードを制限するIPアドレスのリストである「ソース」値を指定できます。必要に応じてこの機能を使用できますが、リモートユーザー(離れていて接続している友人を含む)が静的IPアドレスを持っていることを前提としているため、まったく新しい頭痛の種が発生する可能性があることに注意してください。
次に、外部ポートを入力する必要があります。これは、ルーターで開かれ、インターネットに面しているポートです。ここでは1〜65353の任意の数字を使用できますが、実際にはほとんどの下位番号は標準サービス(電子メールやWebサーバーなど)によって使用されており、上位番号の多くは一般的なアプリケーションに割り当てられています。それを念頭に置いて、5,000以上の番号を選択し、さらに安全にするためにCtrl + Fを使用してこの長いTCP/UDPポート番号のリストを検索し、現在使用している既存のサービスと競合するポートを選択しないようにすることをお勧めします。
最後に、デバイスの内部IPアドレス、そのデバイスのポートを入力し、(該当する場合)ルールをオンにします。設定を保存することを忘れないでください。
手順3:ポートフォワーディングルールをテストする
ポートフォワードが機能しているかどうかを確認する最も簡単な方法は、ポート用に意図されたルーチンを使用して接続することです(たとえば、友人にMinecraftクライアントをホームサーバーに接続させる)。ただし、自宅から離れていない場合は、すぐに利用できるソリューションではありません。
ありがたいことに、YouGetSignal.comで便利な小さなポートチェッカーがオンラインで利用できます。ポートテスターに接続を試行してもらうだけで、Minecraftサーバーのポートフォワードが機能しているかどうかをテストできます。IPアドレスとポート番号を挿入し、「チェック」をクリックします。
上記のように「ポートXが[あなたのIP]で開いています」というメッセージが表示されます。ポートが閉じていると報告された場合は、ルーターのポートフォワーディングメニューの設定と、テスターのIPとポートデータの両方を再確認してください。
xFiゲートウェイを使用したXfinityポートフォワーディング
xFiゲートウェイがある場合、残念ながら1か所ですべてを行うことはできません。XfinityはポートフォワーディングルールをXfinityアプリに移動しましたが、静的IPアドレスを割り当てるにはWebインターフェイスを使用する必要があります。
Webブラウザにゲートウェイのアドレスを入力して、xFiゲートウェイにログインします。通常、アドレスは10.0.0.1または192.168.0.1になりますが、保証はありません。その2つのアドレスのいずれも機能しない場合は、モデムまたはルーターのIPアドレスを手動で見つけることができます。
ログインしたら、接続デバイスに向かい、リストでサーバーを探して、「編集」をクリックします。
「予約されたIP」にチェックを入れて、「保存」をクリックします。
覚えやすい場合は、カスタムIPアドレスを設定できますが、最後の3桁を2〜255の数字に変更することに制限されます。
これで、ルールが正しいデバイスに適用されたままになるようにしました。次に、Google PlayストアまたはAppleストアからXfinityアプリをダウンロードします。これは、Xfinity xFiゲートウェイを使用してポートフォワードする唯一の方法です。
アプリを開き、求められたらサインインして、接続>(Wi-Fiネットワーク名)>詳細設定>ポートフォワーディングに移動し、「ポートフォワードの追加」をタップします。
ルールを作成するデバイスまたはローカルIPを選択し、ポートを選択してTCP、UDP、またはTCP/UDPから選択します。次に、「次へ」をタップしてポートフォワーディングルールを確定します。
これで完了です。サービスはインターネット上にあるはずです。サーバー自体のファイアウォールがそのポートでの接続を許可していることを確認してください。
ポートフォワーディングの一般的なアプリケーション
ポートフォワーディングのアプリケーションはポートの数と同じくらいありますが、ほとんどの場合、リモートアクセス、ゲームサーバー、またはメディアサーバーのセットアップに使用します。多くの人は、Minecraftサーバー用にポートフォワーディングする必要があるか、SSHポートフォワーディングを設定する必要があります。これらカテゴリで最も人気のあるアプリケーションのクイックリファレンスチャートを次に示します。
アプリケーション | ポート | プロトコル |
Minecraft(Java) | 25565 | TCP/UDP |
Minecraft(Bedrock) | 19132-19133 | TCP/UDP |
Project Zomboid(PZ) | 16261-16262 | TCP/UDP |
VNC | 5900 | TCP |
SSH | 22 | TCP |
Plex Media Server | 32400 | TCP |
SSHはポート22を使用しており、そのポートはその用途のために特別に予約されていることに注意することが重要です。Minecraftなどの他のアプリケーションは、公式にそれを要求するものは何もありませんが、機能的にポートを予約するほど強い主張をしています。同じポートを使用しようとしているものが複数あることに気付く場合があります。文字通り何万もの異なるポートが自由に使用できることを覚えておいてください。別のポートを選択して代わりに使用してください。
しかし、あらゆる種類のポートを開いたり、考えられるすべてのサービスをホストしたりする前に、セキュリティ対策を見直す時間を取ってください。ほとんどは非常に簡単に開始でき、後で大きな頭痛の種を回避できます。
ポートフォワーディングのセキュリティ対策
ポートフォワーディングを行う場合、明らかにインターネットからアクセスできるものがあることを意図しています。ポートを開くたびに「攻撃対象」が増加します。リスクを軽減するために予防措置を講じることが最善です。これは、自分自身を保護するためにできることのすべてを網羅したリストではありません。そのためには複数の小説を書く必要がありますが、始めるのに適した場所です。
サーバーを管理者またはルートとして実行しない
Windows、Linux、またはその他のオペレーティングシステムでサーバーをホストしているかどうかは関係ありません。インターネットに公開されているものをホストするために管理者またはルートアカウントを使用しないでください。管理者またはルートアカウントには、制限がほとんどありません(ある場合)。システムで任意の操作を実行できます。
実行しているサービスに誤った構成、バグ、またはエクスプロイトなどの問題がある場合、管理者またはルートアクセスにより、悪意のある攻撃者が引き起こすことができる被害の量が劇的に増加します。ネットワークに接続されている他のデバイスが侵害される可能性さえあります。
通常のアカウントを使用すると、はるかに脆弱性が低くなります。システムへのアクセス権を取得した攻撃者は、実際に危害を加えるためには何らかの権限昇格エクスプロイトも必要になる可能性があります。
SSHでのルートログインを無効にする
Linuxでホストしている場合は、SSHでのルートログインを完全に無効にする必要があります。ルートユーザーはシステム上のすべてに無制限にアクセスできるため、悪意のある人々にとって魅力的な標的となります。
さらに、sudoを使用するとユーザーはルートユーザーであるかのようにコマンドを実行できるため、それを使用することによるメリットはまったくありません。sudoの権限はユーザーごとに変更することもできるため、基本的なサーバー管理を実行するためにさらに制限されたsudoアカウントを作成することもできます。
ポートを変更することはできますが、それに頼らない
ホストしているもののためにデフォルトのポートを使用すべきではないという提案に出くわすことがあります。これの背後にある考えは単純です。誰かが特定の開いているポートのIPブロックをスキャンしてターゲットにしようとしている場合、ポートを変更すると誰かがサーバーにアクセスしようとする可能性が低くなります。
たとえば、SSHポートを22から7281などに変更できます。
それは効果的ですか?ええ、ある意味で効果的です。スクリプトキッズ(あらかじめ作成されたソフトウェアまたはスクリプトを使用するアマチュアのなりすまし)からの自動的なヒットの数を確実に減らし、結果的にログで確認する必要のあるものが少なくなります。しかし、知識のある人による深刻な標的型攻撃を阻止することはできません。
あいまいさを利用したセキュリティは保証されず、システムを安全に保つために決してそれに頼ってはいけません。
LinuxサーバーにFail2Banをインストールする
Fail2Banは、サーバーをブルートフォース攻撃から保護するために設計されたソフトウェアです。Fail2Banは、サーバーへのログインを試行して失敗したIPアドレスからの接続試行を一定回数自動的に拒否するように構成できます。攻撃者は、禁止されることなくパスワードを数回以上推測することはできません。
Fail2Banは、より複雑な動作で設定することもできるため、Linuxでホストすることを計画している場合は、学ぶ価値があります。
可能な限りSSHにセキュリティキーを使用する
管理者またはルートアカウント、およびリモートでログインする他のアカウントには、常に強力なパスワードを選択する必要があります。Fail2Banと他のセキュリティ対策はブルートフォース攻撃を阻止しようとしますが、失敗する可能性があります。可能な限り強力なパスワードを使用してください。
SSHを使用している場合は、パスワードの代わりにSSHキーを使用することを検討してください。SSHキーは公開鍵暗号化の例です。キーはペアで生成され、1つは公開鍵、もう1つは秘密鍵です。公開鍵は、リモートで接続するコンピュータに配置されます。ペアのもう一方のメンバーである秘密鍵は、コンピュータに保持します。接続しようとすると、サーバー上のキーに対して秘密鍵がチェックされ、承認が提供されます。
Windows、Linux、MacOSはすべてSSHキーをサポートしているため、それを使用しない理由はほとんどありません。SSHキーはより安全で、セットアップ後はパスワードと同じくらい便利です。
ホワイトリストに登録されているアドレスからの接続のみを許可する
サーバーに許可される接続を制限することで、セキュリティを向上させることもできます。これを行うには、ホワイトリストとブラックリストの2つの基本的な方法があります。ブラックリストは、特定の人物またはアプリケーションからの接続を禁止します。たとえば、ハッカーがMinecraftサーバーを攻撃していることがわかっている場合は、そのIPをブラックリストに追加して常に拒否されるようにすることができます。または、逆の方法で機能するホワイトリストを使用できます。ホワイトリストでは、事前に承認された接続のみが許可され、多くの場合、特定のアプリケーションまたは特定のポートへのアクセスのみを許可するように制限できます。
Linuxでは、Universal Firewall(UFW)またはFirewallDを使用して、OSレベルのホワイトリストを作成します。どちらを好むかを使用できますが、Debianディストリビューション(Ubuntuなど)には通常UFWが付属しており、RHELディストリビューション(Fedoraなど)には通常FirewallDが付属しています。Windowsでは、Windowsファイアウォールを開き、「受信トラフィック」タブに移動してホワイトリストを作成します。
ホストする可能性のある個々のアプリケーションにも、組み込みのホワイトリスト機能が付属していることがよくあります。たとえば、メインサーバーディレクトリにあるwhitelist.jsonを変更することで、IPをMinecraftサーバーのホワイトリストに追加できます。ただし、プロセスはアプリケーションによって大きく異なるため、詳細についてはアプリケーションのドキュメントを確認する必要があります。
VLANを使用してローカルエリアネットワークを分離することを検討する
家庭のローカルエリアネットワーク(LAN)は、通常、少し自由なものです。インターネット上のデバイスとLAN上のデバイスの間よりも、LAN上のデバイス間ではセキュリティがはるかに低くなります。一般的な想定は、LANに接続されているデバイスは信頼できるデバイスであり、セキュリティリスクがあまりないということです。
ただし、インターネットに面したサービスをホストしている場合は、それは安全な想定ではありません。ホストしているサービスに障害がある場合、または他のセキュリティ対策がある場合、攻撃者がサーバーを侵害し、それを介してローカルエリアネットワーク上の他のデバイスにアクセスできる可能性があります。これは、潜在的に大きなセキュリティ侵害です。
1つの解決策は、仮想LANまたはVLANです。VLANは、他のすべてのデバイスが存在する「実際の」LANから、ソフトウェアを介して分離された別の仮想ローカルエリアネットワークです。インターネットに面したサーバーを含むVLANと、通常のデバイスがすべて存在するVLANの間で、どの種類のトラフィックが通過することを許可するかを正確に制限できます。これにより、悪意のある攻撃者がサーバーを侵害した場合に、サーバーと他のデバイス間にかなり効果的な障壁が作成されます。VLANのセットアップは少し複雑になる可能性があり、詳細はハードウェアによって異なります。すべてのコンシューマー向けルーターがVLANをサポートしているわけでもありません。そのため、表示されない場合は、おそらくありません。
ルーターがVLANをサポートしていない場合は、いくつかのオプションがあります。それらをサポートする新しいルーターを購入するか、管理されたネットワークスイッチを追加できます。管理されたネットワークスイッチの価格は約30ドルから始まるため、現在のハードウェアがサポートしていない場合、自宅でVLANをセットアップする最も安価な方法です。
ポートフォワーディングを設定するのは少し面倒ですが、ターゲットデバイスに静的IPアドレスを割り当て、ホームIPアドレスに動的DNSサーバーを設定する限り、将来ネットワークに手間をかけずにアクセスするために1回だけ訪問する必要があるタスクです。
コメントする