自宅サーバを構築/運用する際の留意点(IPアドレス、ポート)

自宅サーバを構築/運用する際の留意点(IPアドレス、ポート)

レンタルサーバ

自宅サーバを構築/運用する際の留意点(IPアドレス、ポート)

自宅サーバを構築/運用する際の留意点や用語などです。

 

本ページの目次

 

 

 

 

 

 

グローバルIPアドレスについて

WEBサーバを公開する際には基本的にはプロバイダから動的または固定
グルーバルIPアドレスを貰うことが必要です。
格安SIMを含む携帯電話キャリア、マンション、特定のプロバイダでは
プライベートIPアドレスであることが多いです。

 

※ドコモのmopera Uや、多くのプロバイダは動的グローバルIPアドレスです。

 

以下の資料の4ページ目にドコモでのIPアドレスに関する記載が有りました。

 

携帯電話キャリアでは無いですが、UQ WiMAXについては2013年6月以前は
動的グローバルIPアドレスでした。現在はプライベートIPアドレスで、
オプション(月額100円)での動的グローバルIPアドレス付与が有ります。

 

割り当てられているIPアドレスの種別を確認するには、ルータにログインしシステム
情報を見ます。自宅のルータを確認して見ると、グローバルIPアドレスでした。
携帯キャリアが割り当てたIPアドレスを見るには、Andoridであれば「ifconfig」で
確認してみるとrmnet0の項目に表示されていました。
100.64.0.0/10のシェアードアドレス(CGN、キャリアグレードNAT用のIPアドレス)
でした。

 

「固定グローバルIPアドレス」

一般的にはWEBサーバは固定グローバルIPアドレスで運用することが多いです。
またVPNを使用し、どのプロバイダからでも固定グローバルIPアドレスを割り当て
られるサービスも有ります。

このサービスを使用すると携帯キャリアのスマートフォンでも固定グローバル
IPアドレスが割り当てられた状態になります。

 

 

「動的グローバルIPアドレス」

動的グローバルIPアドレスでサーバを公開する場合はダイナミックDNSという
サービスを使用する場合が多いです。

MyDNS.JP(無料)

しかしながらダイナミックDNSの短所としてDNS自体が分散処理のシステムで
あるため、DNSレコードの更新が即時には行われません。そのため高い信頼性を
求められるホームページの公開には適していないかと思います。
※といってもブロードバンドルータでのVPNやWEBカメラなどでもダイナミック
DNSは使用されますが、経験上、不具合が起きたことは有りません。

 

本サイト内の関連ページ

 

 

 

インターネットから自宅サーバへのアクセス時、アクセス可能なポート番号等

インターネットから自宅サーバ(プロバイダの契約ユーザー宅)へのアクセス時、
アクセス可能なポート番号は契約しているプロバイダによって異なります。
プロバイダのファイアウォール等でポート閉塞しているパターンです。
そのため、閉じているポート番号を事前に確認しておきましょう。だいたいは契約
しているプロバイダのホームページに掲載されていますね。
セキュリティ対策の一環として、有名なワームが使用する送信先ポート番号はプロバイダで
閉じられる傾向に有ります。

 

また送信元のネットワーク側でも、VPNは不可としていたり特定のアプリケーションや
WEBサイト等へはアクセス禁止としているところも有ります。
ホテルや公衆Wi-Fiはこのような設定をしているかもしれませんね。

 

・PPTPにてVPN接続が出来ない事例

※PPTPは脆弱性も指摘されています。

 

また、HTTP通信はWEBブラウザ(Opera、Chrome等)やキャリア(au等)独自の
Proxyサーバを任意、または強制的に通る場合が有ります。主に帯域の節約のため。
docomoのSECURITY for Biz端末は任意のProxyを利用できますね。

 

そのため、自宅WEBサーバ等で送信元IPアドレスでアクセス制限をする場合、
送信元IPが送信元端末のIPアドレスでは無くProxyサーバのIPアドレス
となることにも留意して下さい。

 

 

 

自宅サーバからインターネットへのアクセス時、アクセス可能なポート番号等

自宅サーバからインターネットへのアクセス時、殆どのポートはアクセス出来るかと思いますが
メール送信に使用される事がある25番ポートは多くのプロバイダではOutbound Port 25
Blockingと呼ばれるスパムメール対策によって特定のサーバ以外への25番ポートへの
アクセスは禁止しています。
そのためYahoo!メール等のメールサーバを利用する場合はサブミッションポート
(tcp/587)宛に変更したりしていますね。

 

 

 

ポートの待ち受けについて

ポートの待受け、主にTCP80番ポートで待ち受けられるようにする方法は、
ファイアウォールでtcp/80を開けてから、処理を行えるネットワーク機器
(ルータやファイアウォール)によって

●ルーティング
●(片方向または双方向)NAT
●ポート転送(ポート変換、ポートフォワード)
●UPnPでのポート開放

などから選択します。

 

 

■a. 「UPnP」でのポート開放

※UPnPについてはSSDPリフレクター攻撃などに関する脆弱性の指摘が
有りました。Checkmyrouterという自分のルータへパケットを投げてUPnPの
バグのチェックやPing、ポートスキャン、トレースルートを行うツールも有ります。
以下もUPnPの脆弱性チェックサイトです。

 

また、昔、UPnPを使用してPC内のデータを公開してしまうというウィルスが有りました。
UPnPを使用しない場合はルータでUPnPをオフにしても良いかと思います。

 

ヤフオクで数千円で購入したドコモのWi-Fiルータ「L-09C」では、UPnPでの
ポート開放で実現可能でした。UPnPを有効にし開放くんで80番ポートを
開放すると、インターネットからのアクセス時、PC内のWEBサーバが正常に
応答しWEBページが表示されました。また、UPnPを使用するソフトはUPnPCJ
というのも有りました。

 

L-09CでのUPnPの有効化

 

「開放くん」を使用してポート開放

 

設定の詳細は以下のページに記載しました。

 

 

■b. 「ポート変換」でのポート開放

ドコモWi-Fiルータ「BF-01D」ではポート変換で実現可能かと思います。

 

自宅のルータは、BF-01Dと同じくバッファロー製のためポート変換で可能のようでした。
UPnP機能も有りました。

 

設定の詳細は以下のページに記載しました。

 

 

■c. 「NAT」、「ポートマッピング」でのポート開放

NEC Atermでは「詳細設定」→「ポートマッピング設定」→「NATエントリ追加」です。

 

ワイモバイル(イーモバイル)のポケットWi-Fi、GP02の画面です。
「ポートマッピング設定」から設定できます。