vine-users ML アーカイブ



[vine-users:071367] Re: 今現在 のインターネット上の交信 先のIPアドレ スを知る方法?

  • From: Masa Takahashi <masa@xxxxxxxxxxxxxxxxxxx>
  • Subject: [vine-users:071367] Re: 今現在 のインターネット上の交信 先のIPアドレ スを知る方法?
  • Date: Sat, 02 Apr 2005 18:37:25 +0900
 政です。


KONNO Yousuke wrote:

>>しかも、(ルータの機種によっては)"簡易 DMZ"やポートフォワードをしている
>>マシンに対してのセキュリティ(パケットフィルタリング等)が全く無い場合も
>>あるようです。
> 
> 
> 「簡易DMZ」って言うのは、セキュリティで設置するDMZとは全く関係無いばかり
> ではなく、セキュリティの概念も全く無い危険な「なんちゃってDMZ」だと認識
> していますので、セキュリティ上のメリットは全くないのは同意です。
> 
> で、ポートフォワードと言うのは、ある意味、パケットフィルタリングなのでは
> ないでしょうか?
> ある一定のポートのみ転送と言うことで、逆に言うと、ある特定のポート以外は
> 遮断と言う事になりますので。
> 

元来、 DMZ は"非武装地帯"という意味ですから、セキュリティの配慮が無い
可能性は否定できませんが、ルータの機種によっては DMZ であってもパケット
フィルタリングをしてくれる機種もあるようです。

問題なのは、パケットフィルタの有無に関わらず、外部公開のマシンと公開
しないマシンが、同一のネットワーク上に存在する事だと思えます。

なので、ルータ2台にする事により(あるいは大里さんが[vine-users:071361]
で書かれた方法により)、物理的にネットワークを分けたほうが、より安全と
思えます。


-- 
政