ネット詐欺に注意part4 (* - -)ノ
「という事は、実際にインターネットに繋いでいるのはどこだ?」
「という事は・・・プロキシ(代理サーバ)は、本部のBBRのWANポートという事になるんじゃないですか・・・?」
「いや、違うな・・・本部が直接インターネットに繋いでいるわけでなく、その先にはプロバイダのネットワークがあるじゃないか。
しかも、本部と繋がっているのはプロバイダのLANの口であり、実際にインターネットに繋がっているのは反対側のプロバイダのデフォルト・ゲートウェイ・・・つまりWANの口の方になる・・・」
「ん・・・ちょっと待って下さいよ・・・
なんか、わけがわからなくなってきたぞ・・・」
と、ヘタクソな図を描き始めたK君である。
「わかった。
図を描いたら、どうにかわかりました・・・
という事は、ボクのPCCも自分ではBBRを咬ましていなくとも、物件のBBRの下でLANを構成しているはずだから、同じような構成という事になりますね・・・」
「そう。
そしてその先は、プロバイダである事も同じだよ・・・
つまり、さっきのCGIプログラムで見えていた実IPとやらは、直接インターネットに接続しているプロバイダのデフォゲであり、それ以外のインターフェイス(内側)は、向こう(インターネット)からは見えるはずがない・・・だからこそのプロキシ(代理)だ・・・」
「てことは、あのエロサイト・・・いや怪しげなサイトからは、プロバイダから先(こっち側)は、全然見えてないのか・・・」
「見えるわけがない・・・何を恐れているのかね、キミは?」
「でも
<金を払わない時は、プロバイダに情報開示要求をして、クライアントを特定するぞ!>
とかいう、脅し文句が書いてあったな・・・」
「確かにああした怪しげなサイトは、中にどんなプログラムが埋め込まれているかわからないから、ウィルスなど別の意味でも気をつけた方がいいのは事実だが・・・君子、危うきに近寄らずだべ・・・」
そうK君に忠告しておき、帰宅してから試しにわざと怪しげなサイトに繋いでみた(  ̄∇ ̄)σ|[] ボチッ
NAPT(IPマスカレードの優位性) ~ BBR教室・第十五限 \(-_- )
「ポート」という概念については以前にも触れましたが、念のためにもう一度おさらいをしておきましょうか。
IPアドレスが住所であるとするなら、ポート番号というのはマンションなど、集合住宅の部屋番号に譬えるのがわかりやすいでしょう。
BBR配下にある一つのセグメントから、複数のプライベートアドレスが同時にインターネットに接続しようと試みた場合、実際の動きとしてはインターネットに繋ぐ事が出来るグローバルアドレスは、ルーターに割り振られたただ一つしかない事は繰り返し説明してきましたね。
が、これでは先の会社のネットワークに譬えたように、複数の端末から同時に接続の要求が出た場合には、同じLAN内のどのPCから要求が出されているのかを、BBRの方では識別出来なくなってしまいます。
このため「ただのNAT」機能では、どのPCをインターネットに繋げてやれば良いのかがわからず、充分にクライアントの要求を満たす事が出来ませんでした。
これに対して「NAPT」の方は、PCから要求が出る都度「ポート番号」という識別子を使って、どのPCから接続の要求が来ているのかを識別出来るようにしたものです。
それが「NAT」に、ポート番号という識別子を表す「P」を加えた「NAPT」といわれる所以です。
ここでもまた、わかりやすく身近な例を挙げていきましょうか。
AさんはWebに繋ぐ要求(http=ポート80番)、Bさんはメールサーバへの受信アクセス(pop3=ポート110番)、Cさんはメールサーバへの送信要求(smtp=ポート25番)といった具合に、ポート番号によってクライアントを特定するため、複数のPCからの要求を識別する事が出来るというわけです。
NATの場合はアドレス変換機能のみで、ポートの変換までは出来なかった事を思い起こせば、それだけでも格段の進歩だとわかりますが、両者の違いはそれだけではなかったのでした。
実は、さらに大きな違いがあったのです。
それは、何かと言えば・・・
前回、NATについて
グローバルアドレスとプライベートアドレスの対応が、1対1である
と、くどいほどに説明を繰り返しましたが、「NAPT」の場合は
グローバルアドレスとプライベートアドレスの対応が、1対多である
という事は・・・
ネット詐欺に注意part3 (* - -)ノ
「え?
生IPなんて、見えるんですか?」
「見えるよ。
まあ、今、実演するから見ていろ・・・」
職場で皆が他の議論などで盛り上がり、注意が逸れている時を見計らって、検証をしてみせる事にした。
コマンド・プロンプトから
ipconfig/all
と打つと
192.168.1.3
といったような、IPアドレスが帰って来る。
「基本中の基本だが、これが何のアドレスかはわかるよな?」
「今更、こんなの・・・LAN内のプライベートアドレスでしょ」
K君は、さもバカにするなと言わぬばかりだ。
「さて・・・では実アドレスを見てみようか・・・色々方法はあるだろうが、最も手っ取り早い方法で・・・」
と「google」で「IP 表示」とかをキーワードに検索をかけると「診断くん」、「確認くん」といったような、CGI(Common Gateway Interface)でIPの情報を取っているプログラムが出て来た。
これらのプログラムではグローバルIPアドレスを始め、様々なクライアントの情報が出てくるのである。
「ね。ちゃんと、グローバルアドレスが出てるでしょ」
「グローバルアドレスといっても、一つしかないわけではないからな・・・」
「え? どういう事?」
「つまりだ・・・ここからインターネットに繋ぐまでの、ルーティング(経路)の事を少しでも考えているのかな?」
「いや。それは・・・」
「オイオイ・・・いいか。仮にこのPCがK君のクライアント端末だと想定しても、このPCから直接にインターネットの、そのエロサイトに繋いでいるわけじゃないんだぞ」
「それは・・・つまり・・・
ど、どういう事ですか・・・?」
「先に『ipconfig』コマンドを表示させたよな。
あれの
デフォルト・ゲートウェイ 192.168.1.1
というのが、この部屋にあるBBRに割り振られたプライベートアドレスだ。
まず、最初にここを通っていくのはわかるな」
「うん。デフォルト・ゲートウェイだから、そうなんでしょ」
「さて、BBRにはLANとWANという、2種類の口(ポート)があると言う事は、以前に何度も説明したが・・・」
「知ってますよ。
LANの方が、こちら側の今表示されていた192ナントカというので、WANの方はインターネットに出て行く口で、プロバイダからリースされたグローバルアドレスが付いてるんですよね?」
「いや、必ずしもWANの方に、プロバイダのグローバルアドレスが付いているとは限らんな。
例えばここの構成なら、本部と繋がっていて本部のプロキシを経由して外に出て行くんだから、当然WANの口は本部のプロキシ(BBR)と繋がっていなきゃならん。
てことはWANポートの方も、本部から割り当てられたプライベートアドレスが付いているはずだよな?」
「あ、そうか・・・」
NATとNAPT(IPマスカレード)の違い ~ BBR教室・第十四限 \(-_- )
では次に「N社」という会社を例に挙げて、説明していく事にしましょう。
N社のN課には、10人の社員がいます。
仕事の性格上、頻繁にインターネットを使う必要があり、BBR配下にAさんからJさんまで10人のクライアントがいます。
この場合に、Jさんが先の「NAT」を使ってインターネットに接続している間は、一つしかないBBRのグローバルアドレスは、JさんのPCが独占して使用中という事になっているために、他のGさんやFさんらは、Jさんの作業が終わるまでの間はインターネットが使えないという、非常に困った状態になってしまいます。
先のPC好きなAさん一家とは違い、こちらの場合は仕事上の必要性を考えると、こんな事では殆ど「役立たず」だと言い切ってしまっても良いくらいです。
そこで、このNATを改良した技術が登場して来ました(と言っても、もう随分前の話ですが・・・)
「IPマスカレード」、或いはNATの拡張版である「NPAT」と言われるものがそれで、BBRを使っている人や少しでも興味を持った事のある人なら、大抵のBBRの箱などに「IPマスカレード搭載」とか麗々しく書いてある、この名前には記憶があるのではないでしょうか。
ちなみに「IPマスカレード」と「NPAT」は、名前が違うだけで実質的には同じものです。
正式名は「NPAT」の方ですが、BBRなどでは元々Linuxで使われていた「IPマスカレード」と表記されているのが一般的です。
今では寧ろ「ただのNAT」を探すのが困難なくらいに、IPマスカレードが浸透しているため、こちらの方が遥かに有名です。
では「NAT」と「NPAT」の違いは、一体どこにあるのでしょうか。
両者の違いはまず、その名前を比べてみれば一目瞭然です。
「NAT」が
Network Address Translation
つまり「ネットワークアドレス(だけ)」を変換するのに対し、「NPAT」の方は
Network Address and Port Translation
というように、ネットワークアドレスだけでなく「ポート(番号)」も変換するというところに、両者の大きな違いがあります
では、NPATまたはIPマスカレードの意味について、説明していきましょう(= ̄∇ ̄=)ニィ
ネット詐欺に注意part2 (* - -)ノ
こうして、すっかり仲良くなった(?)にゃべっちとK君は、喫煙所で顔を合わせる度(と言うか、喫煙所にいると必ずK君がやって来るのだった)に世間話に花を咲かせ、時折りはK君からネットワーク技術に関する、鋭い質問が飛んでくるまでになっていた。
「Dos窓(コマンド・プロンプト)の、ipconfigコマンドで出てくるアドレスが、プロバイダから割り当てられたアドレスじゃないですか?」
「キミんとこは、BBRは咬ましてないの?」
「BBRって、ブロードバンドルータの事でしたっけ? ボクは、壁のモジュラー直結ですけど・・・」
「んじゃ、そうなるな・・・」
「でもボクのはipconfigで見ると、いつも同じグローバルアドレスになってるんですけど・・・普通はDHCPだから、毎回違うアドレスが割り振られるハズですよね?」
「大体はそうだが・・・必ずしも、100%そうとは限らんな・・・」
「で・・・インターネットに繋いだ時に、外から見えるアドレスってこれなんですか?」
「その辺りは、キミんとこの物件の環境がわからんから微妙だが・・・そのアドレスはK君のかもしれんし、あるいはデフォルトゲートウェイ・・・つまり物件のBBRに割り振られた、グローバルアドレスかもしれんからな」
「なるほど・・・」
と、なにやら考え込んでいる様子のK君である。
「しかし、なんでまた・・・どうかしたか?」
「いや、実はですね・・・」
と、K君がおもむろに口を開いた。
「昨日ですけど、家でネットをやっていたら、知らないうちに変なとこに迷い込んでしまったんですよ・・・」
「フムフム・・・要するに、エロサイトを見ていたと・・」
「いや、決してエロじゃないです・・・怪しげなサイトである事は事実ですが、エロではないです。ボクは、断じて・・・」
「いいから、続けたまえ・・・」
「で、ネットサーフィンとかやってると、知らないうちに変なポップアップとかが出て来て、勝手にダウンロードとか始めるヤツがあるじゃないですか? あれなんですけどね・・・」
「ほーほー」
「あれでエロみたいなのが出て来て、勝手にダウンロードが始まっちゃったんですよ。ボクは、なんもクリックとかしてないのに・・・」
「ありそうなパターンだな・・・」
「で、ダウンロードは直ぐに終わったんですが・・・終わった時に
<アナタの情報は、以下の通りです>
とかいうのが出て来て、ボクの生IPとかが出てるんですよ・・・で、3日以内にどこそこの銀行に、3万円を振り込めと・・・3日過ぎたら1日1万円の延滞料金が発生するって・・・」
「ワンクリック請求とか言う典型的な詐欺のパターンだな、それは・・・そんなんでも払ってしまうような、ナイーブなヤツもいるんだろうな・・・」
「生IPが見えてますからね・・・一瞬ビビリますよね・・・」
「それは、本当に生IPなのかな?」
「でも『221』とかから始まるIPが出てましたから、実IPなんじゃないですか・・・あのグローバルアドレスは・・・」
「果たしてそうかな?
なんなら、ここで検証してみせようか? ( ̄ー ̄)ニヤリッ 」
ネット詐欺に注意part1 (* - -)ノ
喫煙所でタバコを蒸かしていると、現場の最年少で24歳のK君がいつものように近寄ってきた。
「にゃべっちさん、ちょっと教えて欲しいんですけど・・・?」
「うん?」
「ボクが自宅で使ってるPCのIPって、プロバイダから与えられたグローバルアドレスですよね?」
「まあな・・・正確には与えられてるんじゃなくて、単にリースされてるだけなんだけどね」
「あ、そうでした・・・リース期間とか言うのがあって、一定期間ずつ借りてるんでしたっけ・・・」
職場では1年以上先輩の彼には、当初から親切に業務を教えて貰った間柄である。
親切とはいえ、勉強家で他人にも厳しいところのある彼からは
「この前教えた事、もう忘れたんですか?
メモも取ってないし、家に帰ってからちゃんと復習とかしてるんですか?」
などと何度かやられていただけに、ひと通り業務を覚えかけた頃から、今度はネットワーク技術に関して彼を試す事にした。
国立大学工学部でunixの演習を積んで来ていただけに、unixのあまり得意でないワタクシとどっこいどっこいといったレベルだったが、こと会社で教育を受けて来たというネットワーク技術に関しては、ワタクシの目から見れば殆ど素人レベルだっただけに、これまでの鬱憤を晴らすかのように
「こんな事も知らんとは・・・まったくの素人だな・・・」
などとボロカスに扱き下ろしては、密かに溜飲を下げていたのだった。
しかしながら、若いのに似合わずしたたかなK君も負けてはおらず
「ボクは別に、ネットワーク管理者じゃないですからね・・・自分の得意分野で、ボクをやっつけようというのは卑怯じゃないですか?」
などと唇を尖らせて抗議していたが、そんな抗議くらいで撤退するワタクシであるわけもなく、連日ニヤニヤしながら小生意気な若造に対する嫌がらせには、益々拍車がかかったのである Ψ(`∀´)Ψケケケ
ワタクシにとっては嫌がらせのつもりが、勉強家のK君はバカにされながらも吸収するものはしっかり吸収して、いつの間にやらつい2ヶ月くらい前までは素人レベルだったネットワーク技術に、かなり詳しくなっていた・・・
殊に、IPアドレスとサブネットの説明辺りから
「ネットワークって、凄い奥が深いよ・・・いやー、おもしろいですねー」
と俄然興味を示し始め、何度説明しても理解できなかったIPv4のサブネッティングも、かなりのところまで理解できるまでになっていた(言うまでもなく、教え方が良いためもあったろうw)
NATの功罪 ~ BBR教室・第十三限 \(-_- )
さて、ではNATによるメリットとは一体、何でしょうか?
まずは言うまでもなく、一契約分のIPアドレスで複数のPC(この場合は4台)のどれからでも、自由にインターネットに接続が可能になった点です。
さらに大きなメリットとしては、前述したようにインターネットに直接接続しているのはルーターだけなので、外部(インターネット側)から見た場合はルーターしか見る事が出来ず、実際にはルータの配下にぶら下っている4台のPCは背後に隠れてしまったために、セキュリティ対策として非常に効果的であるという事がわかります。
またNATでは、データの送受信は総て双方向通信として通しますが、WAN(外部)側からの一方的なアクセスは遮断する設定が可能なため、いわゆるクラッカーなど悪意の第三者の攻撃から、PCを守る事も出来ます。
これらがNATのメリットとして、挙げられる点でしょう。
ところが、この「NAT」という優れものにも大きな問題というか、限界がありました。
NATの致命的な欠点・・・
それは「グローバルアドレス」と「プライベートアドレス」が「一対一」の関係になっている事、つまり一つのプライベートアドレスに対して一つのグローバルアドレスが、絶対に必要となるという点です。
壁|Д`;)ハァハァ
つまりは、どういう事かと言えば・・・
BBRのLANポートに4台のPCを繋ぐ事によって、たった一つしかないグローバルアドレスを使って、どのPCからでもインターネットに接続出来るようになった・・・
というところまでは、良いですね?
ここが理解できてないと、まったくお話になりませんので・・・(*´m`)
わかり難いのは、次の
グローバルアドレスとプライベートアドレスの対応関係が、一対一である
という点でしょうが、要するに平たく言えば
家族4台のPCからインターネットに繋ぐ事は出来るけれど、誰か一人が使っている時は他の人のPCから同時には使えない
さらに言い換えれば
複数のPCで、同時にはインターネットに繋げない
という事です。
これが、いわゆる「NATの限界」といわれるところです。
さて、今までの例はAさん一家という、あくまで趣味でインターネットを楽しんでいる一般の家庭の話だっただけに、不自由を感じようとも大きな問題に発展するまでには至りませんでしたが、これが企業など営利が絡んでくるネットワークなどになると、話が根底から違ってくるのは自明の理でしょう (´ー`)y─┛~~
NAT早分かり ~ BBR教室・第十二限 \(-_- )
例えばここにPC好きの、Aさんという一家が居るとしましょう。
PCの自作が趣味のAさんは、マンションの部屋も狭しと4台のPCを作り、自分用と奥さん、また2人の子供にそれぞれ一台ずつ使わせる事にしました。
そんな環境にあって、一人彼がニヤツキながらcafeなどを楽しんでいると、横から覗き込んで来た好奇心旺盛な2人の子供と奥方が、自分たちのPCでもインターネットが出来るようにして欲しい、とせがみ始めたとしても不思議はないでしょう。
この場合の最も下の下策は、家族4人がそれぞれプロバイダに加入する事で、これだと単純計算で月々4人分のプロバイダ料金が掛かってしまい、ただでさえ火の車の家計を圧迫しますが、幸いにしてAさんには幾らかの知識がありました。
プロバイダから貸与されている、一つのIPアドレス(一契約)で、複数のPCをネットに繋ぐには、ブロードバンドルーター(BBR)があれば良いのだ、ということを知っていたのです(ある種のスイッチでも可能ですが、話をわかりやすくするため、ここではBBRという事にします)
こうして家族4人それぞれ4台のPCと、インターネット用のモデムとの間に「ルーターをカマシタ」事によって、これまで直接モデムに繋がっていたAさんのPCだけでなく、(一台分の契約料で)家族みんなのPCからも同じようにして、インターネットに接続する事が可能となりました。
これによって、ただでさえ枯渇していると言われるIPアドレスを、それぞれ4台分のPCに割り当てるという、愚かしい無駄を省く事で地球資源の節約にも大いに貢献し(?)、その上に4台のPCはインターネットに接続する時だけルータに割り当てられた、一つだけの(つまりプロバイダとの間では、一契約分の)IPアドレスを拝借すれば済むという、大変に効率の良いシステムが出来上がります。
この時にルータに割り当てられている、インターネット接続用のアドレスが「グローバルIPアドレス」であり、家族4台の端末それぞれに割り当てられるのは、Aさんが勝手に(といっても一定のアドレス範囲から、というルールに則り)割り振った「プライベートIPアドレス」というものになります。
言うまでもなく「プライベートアドレス」の方は、ルータの配下だけで通用するローカルなアドレスであり、それ単独でインターネットに接続する事は出来ず、インターネットに接続する時は常にルーター(に割り振られた、グローバルアドレス)を通す形になります。
これが、BBRの「NAT」という機能です。
さてでは、これによるメリットとデメリットは、一体なんでしょうか・・・? ( ̄ー ̄)ニヤリッ
NAT ~ BBR教室・第十一限 \(-_- )
前回、ご紹介してきたルータのフィルタリング機能について、その面倒な設定が簡単に出来、セキュリティを強化出来るのが「NAT」及び「IPマスカレード(NAPT)」という仕組みです。
「NAT」や「IPマスカレード」といっても、名前だけは訊いたことがあるが何の事やらわからない、という人は少なくないでしょうから、まずは「NAT」から説明していきます。
「NAT」の正式名称は「Network Address Translation=ネットワークアドレス変換」であり、その名が示す通りIPアドレスを変換する機能を持ちます。
以前からこのシリーズでは、再三に渡って「グローバルアドレス」と「プライベートアドレス」の違いを、ご紹介してきました。
「グローバルアドレスは、世界共通のインターネット(用)のアドレスであるのに対し、プライベートアドレスの方は外部からは遮断された、社内環境などある特定のセグメント(領域・範囲)だけで通用する、ローカルなアドレス」
の事です。
なぜ、こういう分類が必要になったのかといえば、現在まで使われてきた「IPアドレス」の形式が「32bit形式」である事から、物理的に約43億個(2の32乗)までしか割り当てる事が出来ないためです。
43億個といえば、当初は永久に枯渇することのないであろう、気の遠くなるような膨大な数と思われましたが、現実はそれ以上に物凄い勢いで世界中でIT化が進み、地球上に存在するIPアドレスが
「43億個程度では、到底足りない」
という
「IPアドレスの枯渇問題」
が深刻になって来たのです(今の予測では、あと20年が限度と言われています)
そこで43億個とはいえ、60億とも言われる地球人口から見れば、数に限りのあるIPアドレスを有効利用しなければいけないという観点から、こうした「グローバルアドレス」と「プライベートアドレス」という使い分けが、編み出されました。
これでは説明があまりにも漠然とし過ぎて、わかり辛いでしょうか?
では次回からは、実際にこれをどう使うかをわかりやすい身近な例を挙げて、説明していく事にしましょうか・・・( ̄ー ̄)ニヤリッ
#その後、これまでの「IPv4」に代わり、「IPv6」という新しい技術が登場して来た事で、理論的には
2の128乗のアドレス空間=約340澗(かん)
澗は、一・十・百・千・万・億・兆・京・垓・杼・穣・溝・澗←この位
1澗=1兆×1兆×1兆
というほぼ無限大になる事から、この技術が本格的に導入されれば将来家電製品などに、総てIPアドレスが割り振られても、枯渇する事はありえない事になります(現状では、まだ試行段階)
フィルタリング機能 ~ BBR教室・第十限 \(-_- )
「パケット・フィルタリング(packet filtering)」
とは
「個々のパケット(データ)単位で、任意で通過させたり禁止させたりの設定をする」
機能の事です。
これにより、外部(インターネット)から送られて来る嫌がらせや悪質なパケットを、ネットワークに送る前に自動的にチェックして、遮断する事が出来ます。
ルータによるフィルタリングは「パケット」だけでなく「ポート」単位で行う事も可能です。
ここで言う「ポート」とは、前に記述してきたWANやLANの口の事ではなく「ポート番号」というものを表し、サーバの提供する各種のアプリケーションなどの、サービスの事を指しています。
http(インターネット)や電子メールなど、サーバの提供するアプリケーションは、サーバ上では総てプロトコルとして識別及び管理がなされており、それらは世界共通のものとして「ポート番号」という分類によって予約されています。
ポート番号は総計で65535個もあり、1番から1023番まではウェルノウンポート(well-known port number)と呼ばれ、以下の例に挙げるような一般に馴染みの深い代表的なサービスなどが、予め予約されています。
- ポート20 FTP(データ転送用プロトコル)
- ポート21 FTP(ファイル転送用プロトコル)
- ポート23 telnet(リモートアクセス)
- ポート25 SMTP(メール送信用プロトコル)
- ポート53 DNS(ドメインネームシステム)
- ポート80 HTTP(WWWhttpプロトコル)
- ポート110 POP33(メール受信用プロトコル)
「ポート・フィルタリング(port filtering)」と呼ばれる機能では、これらのポート番号によってネットワーク上で特定の(アプリケーションを提供している)プロトコル単位で、通信を任意で許可したり禁止したりする事です。
世の中には奇特な御仁がいて、ポートスキャン(port scan=ポート番号を虱潰しに順番で調べていき、どのようなサービスが稼動中か停止中かを確認していく、クラッキング行為)という手を使い、不備のあるポート番号が存在するとそこを足掛かりとして悪意の侵入を試み、嫌がらせの攻撃をするのを生きがいにしているような愚か者も少なくないようですが、これらはポート・フィルタリングの設定によって、防ぐ事が出来ます。
これらの設定は総てユーザーが手動で行う必要があり、一つずつやっていくのはとても面倒なように思えるでしょうが、実際のBBRではこうした設定を簡単に行う事が出来る機能も備わっています。
次回辺りから、そのあたりをご紹介していきましょうか ( ̄ー ̄)ニヤリッ
ルータの二大機能 ~ BBR教室・第九限 \(-_- )
以前に、BBRの大きな機能として「簡易ファイアウォール機能」を詳細に説明してきましたが、実はそれとは別に「ルータの二大機能」と言われるものがあります。
ルータの二大機能とは
{パス(経路)決定
パケットフィルタリング}
です。
つまり、ルーターの基本的な役割は
- 外部から流れてくるパケットを必要か不要かを篩いにかける
- 必要なものだけをネットワーク上に送り、不要なものは破棄する
- ルーティング・テーブルの記述に従い、パケット(データ)を送る経路を決定する
という流れになります。
ちなみに、外部から流れてくるフレーム(データ)をフィルタリングせずに、総てネットワークに流してしまうのが、最初の方で紹介したレイヤ2スイッチ(以下、L2スイッチ=スイッチングハブの事=と記述)やブリッジといった機器であり、これがルータ(レイヤ3の機器)との決定的な違いになります(ただしスイッチの場合は、L3スイッチなど、ルータと同様の働きをするものもあります)
つまりL2スイッチやブリッジの場合は、データの中身をチェックする事なく総てをネットワークに流してしまうので、要らないデータが溢れてネットワークのボトルネックが起きるなど、負荷が掛かってしまうと同時にファイアウォールのような機能を備えていないため、悪質なデータも無条件に通してしまう事になり、ネットワークそのものに悪影響を及ぼす危険性をも孕んでいると言えます。
この違いが「OSI参照モデル」における、レイヤ2「データリンク層」デバイスのL2スイッチやブリッジと、レイヤ3「ネットワーク層」デバイスであるルータ(またはL3スイッチ)との違いであり、同じデータを「フレーム」と「パケット」と呼び分けているのも「OSI参照モデル」のルールに従ったものです(OSI参照モデルに関しては、無理に理解する必要はまったくありません)
「フィルタ(filter)」とは、文字通り
「(データを)篩いにかける」
という意味を表しMACアドレスやIPアドレス、或いはポート番号やプロトコル単位など、ルータによってフィルタに設定できる条件レベルが異なってきます。
例えばTCP/IPプロトコルならば、IPパケットを単純にフォワードするだけでなく、パケット中に含まれるデータを詳細に調べて送信元や送信先IPアドレス、プロトコルタイプ(TCPかUDPか)、ポート番号などに基づいてパケットを通過させたり破棄したりする機能であり、実はこの機能を如何に使いこなすかが「不正アクセス防止」の重要なポイントになって来ます。
サブネットマスクとデフォルトゲートウェイまとめ ~ BBR教室・第八限 \(-_- )
このように、それぞれ重要な役割を担っている「サブネットマスク」と「デフォルトゲートウェイ」の設定が間違っていれば、外部との通信が出来なくなるのは当然の事ですが、通常はISPからはDHCPのアドレスが割り当てられるため、IPアドレスに対応する「サブネットマスク」と「デフォルトゲートウェイ」も一緒に自動取得されるので、特に設定の必要はありません。
単純に、インターネットに繋いで楽しむだけの場合は、ISPから割り当てられるDHCPアドレスさえあれば(実際には、それさえも意識する必要は、まったくありませんが)あとは総てWindowsが勝手に設定をしてくれますが、固定アドレスを使うなど、なんらかの事情によって手動で設定した時に通信が上手くいかない場合は、IPアドレスだけでなく「サブネットマスク」と「デフォルトゲートウェイ」の設定が正しいかどうかも、併せて確認するところが基本となります。
要するに
IPアドレスはそれ単独では大きな意味を持たず、サブネットマスクとのセットによって初めて意味を持つ
という事が、わかるでしょう。
では最後に、これらの情報の確認の仕方を見ていきましょうか。
以前にもご紹介してきたIPアドレスの時と同じで、コマンド・プロンプト(Dos窓)から
ipconfig
と入力すると
- (加入しているプロバイダの)ドメイン名(例:ocn.ne.jp)
- IPアドレス(PCに割り振ったアドレス=例:192.168.0.2)
- サブネットマスク(デフォルト・サブネットマスク=例:255.255.255.0)
- デフォルトゲートウェイ(ルータに割り振ったアドレス=例:192.168.0.1)
などといった具合に表示されます。
さらに、詳細な情報を見たい場合は
ipconfig /all または ipconfig -all
と「ipconfig」の後に半角スペースを入れて「/all」または「-all」というスイッチを指定すると
- Host Name(PCの名前)
- Dhcp enable(DHCPの使用許可)YES
- Physical Address(MACアドレス=PCネットワークカードのアドレス)
- DHCPサーバー・アドレス
- DNSサーバー・アドレス
- Lease Obtained(DHCPの場合、リース取得時間)
- Lease Expires(DHCPの場合、リース満了時間)
等々といった、さらに多くの情報が画面に表示されます。
上記のコマンド結果はOSがWindowsXPまたは2000の場合であり、Windows95/98/Meの場合はスタートメニューの「ファイル名を指定して実行」から「winipcfg」コマンドを使用しますが、実行結果の表示がやや異なります。
デフォルトゲートウェイ ~ BBR教室・第七限 \(-_- )
前回「サブネットマスク超入門編」でご紹介したように、ネットワーク上を流れるパケットは送信元と宛先が同じネットワークアドレスを持つもの同士(同じネットワーク=セグメントに属するホスト同士)であれば、ホストアドレスを確認して直接の通信をする事が出来ますが、宛先とは別のネットワーク(アドレス)から流れて来たパケットに関しては、どこへ送って良いのかルータにも宛先となるマシンの送信先がわからない事になります。
こうした場合に備えて、ネットワーク外部へのデフォルトとなる出口を予め用意しておき
宛先のわからない(別のネットワークアドレスから送られて来た)パケットを受け取った場合は、一旦そのパケットを外部への決められた出口へ送る
という仕組みがあり、この出口となるのがデフォルトゲートウェイ(default gateway)です。
本来ならば、名前の通り
「予め用意された出入り口」
といった意味ですが、以前にもご紹介したように
内部から外部への通信は総て通すが、外部から内部への通信は総て拒否する
のが、一般的なBBRの仕様である事を考慮すれば、この場合には
「予め用意された出口」
と解釈すべきでしょう。
このシリーズの最初の方で
「BBRと本当のルータとは違う」
という話をしましたが、BBRの大きな特徴は家庭内ネットワークのような小規模のLANとプロバイダ(正式には、インターネット・サービス・プロバイダ=以下、ISP)を繋ぐという前提が、基本的な仕様になっているという点です。
前にも記述した「WANポート」と「LANポート」を明確に切り分けている部分がそれであり、実際の業務用などのルータは単に同じような口が沢山(大きいものでは、数十から数百ものポートが付いています)ズラズラと並んでいるに過ぎません。
それだけ沢山あるポートの中で、どこを外部と通じるためのルート(デフォルトゲートウェイ)にするのかといったルール(rule set=ルール・セット)はネットワーク管理者などが決めていきますが、ルータはそれらの経路情報のルール一覧を記述した「ルーティング・テーブル」(routing table)という、ネットワークの地図のようなものを元にパケットの流れを制御していきます。
BBRも勿論ルーティング・テーブルは所有していますが、基本的にはWANの口が一つしかないため、自動的にこれが外部との通信の基点となる「デフォルトゲートウェイ」になります。
そのためBBRにおいては、ユーザーが「ルーティング・テーブル」などという小難しい事を意識する必要は、まったく不要となるわけです。
-
最終更新:2008年02月09日 10:54
