インターネット接続にはルーターを
ルーターは使ったほうが良いですよ
私の場合、インターネットへはフレッツADSLを使って接続しています。フレッツADSLを使って 接続するには、ADSLモデムの他にパソコンにLANボード(カード)が必要となります。比較的 新しいパソコンであれば最初からLANの機能が物理的に搭載されているはずです。もし、搭載 されていない場合は、別に購入する必要があります。PCIインターフェイスの100Base-TXのもの でも、安ければ3,000円くらいで新品を入手可能です。実は、このLANボード(カード)はADSLを 使うから必要というモノではありません。LAN(Local Area Network) を構築するために必要な機器になります。
つまり何が言いたいのかというと、既にADSLを使ってインターネットに接続していると言うことで あればLANを組む最低限の機器は(たぶん)揃っているということです。そういう事であれば次の ようなメリットがありますのでルーターを導入してみてはどうでしょうか。
同時に2台以上のパソコンでインターネットを利用する場合には必須です
既にパソコンは「一家に一台」の時代を過ぎ、「一人に一台」の時代になってきているのでは ないでしょうか。また、Windows95発売の頃に買ったパソコンの性能では満足できずに、2台目を 購入したなどという話は、ごく普通に聞きます。こうなると「一人で複数台」の時代と いっても過言ではありません。
ADSLモデムの口をみてください。パソコンとの接続の口は一つしかありません。つまり、複数台の パソコンを同時に接続できるようになっていないのです。と、いう意味でも2台以上のパソコンから 同時にインターネットを使いたいのであれば、ルーターは必須になります。 実を言うと物理的な口に関してだけでなく、インターネットに接続する際に必要となるパソコンの 番地にあたるグローバルIPアドレスが、フレッツADSLでは一つだけしか 貸与されないと言うのが本当の理由なのですが、単純にADSLモデムには繋ぐための口が一つしかない からと思っていただいて結構です。
単純に接続するだけなら、例えばコレガや バッファロー等のメーカーのサイトで 設定手順が公開されていますので、割と初心者の方でも簡単に設定することができると思います。 購入の前に、一度見てみると設定が簡単なのか難しいのかを判断できますよ。
【参考サイト】
セキュリティの面では
ルーターを導入しただけで
そもそもインターネットを利用するためには、 グローバルIPアドレス が利用機器に付与されていないといけません。 私たちは、このグローバルIPアドレスを契約しているプロバイダから一時的に借用しています。
グローバルなIPアドレスが付与された機器は、外側(インターネット)からもアクセス可能に なります。
これに対して、プライベートなIPアドレスを持った機器は特別な設定をしない限り、外側(インターネット) から、アクセスすることはできません。
では、「アクセスできる」「アクセスできない」とはどういうことでしょう。
極端な例ですが「アクセスできる」と言うことは、そのパソコンの中にあるファイルを覗き見したり 内容を変更することができると思っていただいて結構です。これは、かなり危ないという事が容易に 想像できると思います。
この原則を元に下の図の例を見ていただければ、それぞれの例のパソコンはどちらが安全度が高いか一目瞭然 です。ルーターを使わない場合は、パソコン自体にグローバルIPアドレスが付与されます。一方、ルーターを 使った場合は、ルーターにグローパルIPアドレスが付与されます。
左の図のようにルーターを使わない場合、パソコンは直接「インターネット」に晒された形になります。
ルーターを使った場合は、内側のLANとインターネットは分離された形になります。では、どうして
グローバルIPアドレスを持たない各々のパソコンからインターネットを利用することができるのでしょうか。
これは、NATという
技術を用いて、ルーターに届いたデータをそれぞれのパソコンに振り分けることにより実現しています。
と、まあルーターを導入しただけで、セキュリティ面でこのように良い点があります。さらにルーターには 独自にセキュリティをより良いものにするための機能が用意されています。やはり、パソコンを インターネットに接続するには、多少の出費を覚悟してもルーターを使ったほうが良さそうです。
ルーターのセキュリティ機能
蛇足のような気がするのですが、 ルーターはウイルス感染を防ぐ機能を持っているわけではありません。 一部のワーム型のウイルスの進入を防ぐことは可能ですが、たとえばメールに添付されているウイルスを 事前に発見して駆除してくれるといったウイルス対策のソフトの働きは持っていません。そういった機能を 期待するのであれば、ウイルス対策のソフトウェアを導入する必要があります。
ルーターには、次にあげるような不正アクセス対策の機能を有しているものがあります。イマドキの ルーターであれば、当然持っているべき機能ですが、ルーター購入の際のキーワードとして知っておくと 良いと思います。
ステルスモード
通常、ネットワーク上にある機器が正常に稼動しているかどうかを確認する手段として pingコマンド を用います。IPアドレスはxxx.xxx.xxx.xxx (実際にはxxxには数字が入ります)のような形で表現されています。不正アクセスしようと思うときに、 適当な数字を列挙してpingコマンドを発行して、 応答があればその時点でそのIPアドレスが使われているかどうかを判断できます。 反応のあったアドレスにのみ色々なアタックを仕掛ければ良いため不正アクセスしようと思う人にとっては、 非常に効率的になります。
ステルスモードは、このpingコマンドに対して返答をしなくするモードです。これにより、 不正アクセスをしようと思う人は、そのIPアドレスはその時点で使用されていないと判断 して、それ以降のアタックを仕掛けることはなくなるというわけです。
パケット・フィルタリング
インターネット上では、何をするにしてもパケットという単位でデータの送受信を行います。パケットには データそのものの他に「どこから」来て「どこへ」行くのかの情報が含まれます。その情報をもとに 該当のパケットをルーターが通過させて良いかの判断を行ってくれる機能です。
パケットの振り分けのためのルールを使い手が作成します。例えば「○○から来たパケットは通過して良し」 といった具合にルールを作成して、許可した所から以外のパケットを遮断してしてしまえば不正な アクセスをシャット・アウトできます。
SPI(ステートフル・パケット・インスペクション)
SPIはパケット・フィルタリングをもう一歩進化させたファイアウォール機能を提供します。
SPIでは、内側(LAN側)から送信したデータを保管しておき、外側(インターネット側)から到着したパケットが 保存しておいたログの内容と矛盾がないかを調べます。
外側(インターネット側)からパケットを受信した時に、そのパケットに対応するデータが内側(LAN側)から 送信されたものかどうかを調査し、もし外側(インターネット側)から送信されてきたパケットが 内側(LAN側)からの発信では無いにも関らず、内側からの応答のような矛盾した内容であった場合には 該当のパケットを遮断し、内側(LAN内部)のマシンを不正アクセスから保護します。
どれを買えば良いのか?
利用目的がWebページの閲覧やメールといった場合、ハッキリ言って「ルーター」と名前のついたもの であれば、それほどの違いはないようです。”ルーター" "お勧め” 等のキーワードを指定して検索をしてみると、評判の良いルーターが見つかると思います。 もし、価格が第一の条件であれば ¥価格.com¥ 等で相場を確認して、購入されてはいかがでしょう。その際に、先ほどあげた キーワードを参考にスペックを見るとより賢い買い物ができるかもしれません。
では、サーバーを公開するという利用目的の場合には、どういったルーターを購入すれば良いのでしょうか。 サーバーを公開していてもっと求められるのは、スピードでも豊富な機能でもありません。先ずは 「安定」して使えるかどうかということです。と、言うことで、 早速”ルーター" "安定性”といったキーワードで検索してみます。 すると具体的な製品名をたくさん見つけることができます。
本来ならここで私の推薦するルーターを挙げることができれば良いのですが、なにぶん個人で 試すには限界がありますし、ルーターは非常に早いスピードで製品が改版されています。 Google等の検索エンジンを 使って、その時点での評判を確かめてみた方がより確実だと思いす。 よって、あえてここでは推薦するルーターはあげないことにさせてください。
ルーター経由でサーバーを公開する!
Webサイトの閲覧やメール等の利用用途であれば、さほど難しい設定は必要ありません。 ルーターに付属しているマニュアルを見ながら30分も格闘すれば無事にWebページの閲覧やメールの 送受信が可能になるはずです。 しかしながら、サーバーを公開するといった用途になると少々複雑な設定が必要になります。
次にサーバーを公開するための設定を記述します。手順は大きく分けて3段階になります。
ここでは説明を簡単にするために、LAN内のプライベートIPアドレスを以下のようにします。
- ルーター:192.168.1.1/255.255.255.0
- サーバー:192.168.1.20/255.255.255.0
- パソコン:192.168.1.100/255.255.255.0
このネットワークのイメージを図にすると左のようになります。
IPアドレスを固定する
ルーター経由でサーバーを公開するための準備として、サーバーパソコンのLAN内でのIPアドレスを固定します。 これは、ルーターの設定をする際に、 グローパルIPアドレスとプライベートIPアドレスを対応付ける必要があるためです。
インストールの時点でDHCPを使わないように設定していた場合は、 当然ですが既にIPアドレスは固定になっています。もし、 DHCPを使うような設定にしてインストールした場合は、以下のコマンドを使ってIPアドレスを固定に変更します。
% su -
# netconfig
netconfigコマンドで左のような画面が起動します。
[ ]Use dynamic IP configuratioにチェックをつけず
に、それぞれの項目に予め決めた値を入力します。
ちなみに設定内容を確認するだけであれば、ifconfigコマンドを使用します。
| IP address: | 固定にしたいサーバーのIPアドレス。この場合は、192.168.1.20 |
|---|---|
| Netmask: | 255.255.255.0 |
| Default gateway (IP): | ルーターのIPアドレス。この場合は、192.168.1.1 |
| Primary nameserver: | 通常の場合ルーターのIPアドレス。この場合は、192.168.1.1 ただし、上手く名前解決ができないことがあった場合は、プロバイダから指定された DNSサーバーのアドレスを指定。 |
ルーターに穴を開ける(ポートの開放)
実を言うとルーターの用語はメーカーごとに統一されていないようで、非常に分り難いです。 なんとか用語を統一してもらいたいものです。 ここでは、たまたま私の手元にあるコレガの BAR Pro3 (CG-BARPRO3)を例に設定します。
BAR Pro3の設定画面です。写真をクリックしていただくとより鮮明な画面をみることができます。
DMZ(DeMilitarized Zone):非武装地帯と訳されている機能で、
外部からの攻撃に無力な設定の方法です。対象となったパソコンは、
ルーターを使わない場合と全く同じで、インターネットに直結されていることになります。
特定の機能(http、ftp等の特定の機能)のサーバーを公開する方法としては、
選択しない方が良いでしょう。
ルーターによっては「静的NAT」と表現されていたり
「ポートフォワーディング」と表現されていたりする機能です。
BAR Pro3の場合は「バーチャルサーバ」と表現されています。
左の例では、ルーターの80番(http)に外部からアクセスがあった場合には、そのパケットはサーバー
(192.168.1.20)に、そのまま流されます。また、20番および21番に外部からアクセスがあった場合も
同様にサーバーにパケットを転送するという設定になっています。
外からの確認
設定が完了したら実際に外部に公開した機能が使えるか確認する必要があります。一番確実で 手っ取り早い方法は、 インターネットに接続可能な友人や知人に連絡して確認してもらう方法です。 この際、ルーターに設定されているグローバルIPアドレス を教えて確認してもらいます。 ルーターに設定されているグローバルIPアドレスは、 ルーターに現在の状態を表示する機能がありますので、そこで確認してください。
他には、外部のProxyを利用して内部の別なパソコンからアクセスしてみるという方法もありますが、 現在は外部のProxyを探すのも難しくなっていますので、前述の方法が手っ取り早くて確実です。
どうしても自分ですぐに確認したいということであれば 「鷹の巣」の自宅サーバー の「■手順D.WWWサーバー動作の確認」の 「8. 外部のサイトより、自宅WWWサーバーへの視覚的なアクセス試験」 で有志の方によって外部から動作を確認するためのサイトの一覧がありますので、 感謝して利用させていただくという手もあります。