こんにちは、今野です。 Masa Takahashi <masa@xxxxxxxxxxxxxxxxxxx> さんが Sat, 02 Apr 2005 14:13:49 +0900 に [vine-users:071357] Re: 今現在のインターネット上の交信先のIPアドレスを知る方法? で書きました。 > 基本的には同意なんですが、 NAT の中でのポートフォワードは推奨しかね > ます。 > > それならば、ルータ2台のほうが安全かと思います。 私の書いた内容をもう一度読んでみてもらえば判ると思いますが、「ある程度判っ てきたら」と書いてありますので、なぜセキュリティが必要だとかある程度判っ てきたらという意味で書いています。 > しかも、(ルータの機種によっては)"簡易 DMZ"やポートフォワードをしている > マシンに対してのセキュリティ(パケットフィルタリング等)が全く無い場合も > あるようです。 「簡易DMZ」って言うのは、セキュリティで設置するDMZとは全く関係無いばかり ではなく、セキュリティの概念も全く無い危険な「なんちゃってDMZ」だと認識 していますので、セキュリティ上のメリットは全くないのは同意です。 で、ポートフォワードと言うのは、ある意味、パケットフィルタリングなのでは ないでしょうか? ある一定のポートのみ転送と言うことで、逆に言うと、ある特定のポート以外は 遮断と言う事になりますので。 > また、大坪さんが そのようにしているとは申しませんが、 DHCP で LAN を > 構築しているのに( IP アドレス指定による)ポートフォワードだと停電等や > その他の事情によるマシンの再起動等をすると、 IP アドレスが変更になる > 可能性もあり、そうすると本来外部に公開していないマシンに"外部からの" > パケットが届く可能性があるわけで、それも危険な事だと思います。 これは、論外では? --- My Name is KONNO Yousuke.