vine-users ML アーカイブ



[vine-users:071362] Re: 今現在 のインターネット上の交信 先のIPアドレ スを知る方法?

  • From: KONNO Yousuke <yousuke@xxxxxxxxxxxxxxxxxxx>
  • Subject: [vine-users:071362] Re: 今現在 のインターネット上の交信 先のIPアドレ スを知る方法?
  • Date: Sat, 2 Apr 2005 14:50:51 +0900 (JST)
こんにちは、今野です。

 Masa Takahashi <masa@xxxxxxxxxxxxxxxxxxx> さんが
 Sat, 02 Apr 2005 14:13:49 +0900 に
 [vine-users:071357] Re: 今現在のインターネット上の交信先のIPアドレスを知る方法? で書きました。
> 基本的には同意なんですが、 NAT の中でのポートフォワードは推奨しかね
> ます。
> 
> それならば、ルータ2台のほうが安全かと思います。

私の書いた内容をもう一度読んでみてもらえば判ると思いますが、「ある程度判っ
てきたら」と書いてありますので、なぜセキュリティが必要だとかある程度判っ
てきたらという意味で書いています。


> しかも、(ルータの機種によっては)"簡易 DMZ"やポートフォワードをしている
> マシンに対してのセキュリティ(パケットフィルタリング等)が全く無い場合も
> あるようです。

「簡易DMZ」って言うのは、セキュリティで設置するDMZとは全く関係無いばかり
ではなく、セキュリティの概念も全く無い危険な「なんちゃってDMZ」だと認識
していますので、セキュリティ上のメリットは全くないのは同意です。

で、ポートフォワードと言うのは、ある意味、パケットフィルタリングなのでは
ないでしょうか?
ある一定のポートのみ転送と言うことで、逆に言うと、ある特定のポート以外は
遮断と言う事になりますので。


> また、大坪さんが そのようにしているとは申しませんが、 DHCP で LAN を
> 構築しているのに( IP アドレス指定による)ポートフォワードだと停電等や
> その他の事情によるマシンの再起動等をすると、 IP アドレスが変更になる
> 可能性もあり、そうすると本来外部に公開していないマシンに"外部からの"
> パケットが届く可能性があるわけで、それも危険な事だと思います。

これは、論外では?



---
My Name is KONNO Yousuke.