- 締切済み
NATおよびNAPT時のIPの振り方
・スタティックNATの場合 ルータのWAN側にWAN側のインターフェースに振られているIPと別のIPをバーチャルIPとして設定し、LAN側のプライベートアドレスと1対1で関連図ける。と認識しています。 ここで質問ですが、 このWAN側のインタフェースに振られているIPとLAN側のプライベートアドレスを1対1で関連付けることはあるのでしょうか? それともWANのインターフェースで使っているのでこのような使い方はしないのでしょうか? ・NAPT NAPT時はどうなのでしょうか?こちらの場合は別のIPを設定しても、WANに振られているIPを設定してもどちらでもよいのでしょうか? よろしくお願い致します。
- NetMani-_-i
- お礼率56% (30/53)
- ネットワーク
- 回答数5
- ありがとう数4
- みんなの回答 (5)
- 専門家の回答
みんなの回答
- bship
- ベストアンサー率51% (47/92)
一部混乱があるようなので、再度回答します。 NATとは、「WAN側のIPアドレスとLAN側のIPアドレスを対応づける技術」ではなく、「特定のIPアドレスと特定のIPアドレスを1対1で変換する技術」です。 任意のアドレスの変換が可能なのであり、 "WANの"とか"LANの"とかに依存するものではありません。 もちろんWAN側のアドレスに変換することもあるわけですが、全く任意のアドレスに変換してもいいわけで、セキュリティ上はそのような任意の仮想アドレスにした方が望ましいのです。ただしここでいう「任意」とは勝手なという意味ではなく、正規のグローバルアドレスであることはいうまでもありません。NATデバイスにとって無関係のアドレスという意味です。また、そのような仮想アドレスに対するMACアドレス解決はNATデバイスやその他デバイスをProxyARPとしたり、ルータのARPエントリの作成で実現します。 よって、「#3お礼」の質問の回答は、「どちらでもよく、NAPTでも同様である」となります。 またVPNはこの話とは全く独立です。
- mii-japan
- ベストアンサー率30% (874/2820)
まず、ルータの基本動作を掌握してください、 それを理解しないと、NATやNAPTの適切な理解が難しいです ルータは通常 WAN側IPアドレスとLAN側IPアドレスを持ちます、複数のインターフェースを持つ場合それぞれのインターフェースにIPアドレスを持ちます 例外として、リモート接続用インターフェース(WAN側)ではアンナンバードと言ってIPアドレスを設定しない方法があります そして、受け取ったパケットで宛先の所在の判明しているIPアドレス宛のパケットを該当するインタフェースへ転送します ここで、ある特定のインターフェースの存在を隠す場合があります(そのインターフェースのサブネットがプライベートアドレスである場合等) そのような場合に、NATやNAPTが使用されます NATは特定のIPアドレス宛の全パケットをあらかじめ指定されているIPアドレス宛に変換して転送します、その特定のIPアドレスからの発信パケットは発信元IPアドレスを変換して転送します ですので返還前・変換後のIPアドレスは1:1で対応し全てのポートからの発着信をポート番号を変換しないで転送します NAPTはWAN側の1IPアドレスを、複数のLAN側(プライベート)IPアドレスに対応させます 1:多の変換の識別にポート番号を使用します プライベートアドレス側から発信の場合、用途の指定されていないポート番号を適宜使用してWAN側へ転送します 返事はそのポートを指定して伝達されますので、そのポート番号から(プライベー)IPアドレスを特定し、そのIPアドレス宛に転送します プライベートIPアドレス側から発信の場合、変換するポート番号は任意に設定できます WAN側からの着信の場合、変換するポート番号は定義されていませんので、転送はできません しかし、サービス毎にポート番号は指定されているので、そのポート宛のパケットを受け取る装置を(サーバ等)指定することは可能です この対策がいわゆる ポート開放です 一般ユーザの通常のケースでは、NATは プロバイダから割り当てられたIPアドレスをが123.45.67.89 LAN側の指定PCのIPアドレスを が192.168.1.100 で NATで 123.45.67.89 ⇔192.168.1.100が設定されていれば 123.45.67.89 宛のパケットは全て 192.168.1.100 に転送されます この状態では、1982.168.1.100を プロキシサーバにする以外の方法では、192.168.1.100以外の装置から、インターネットへアクセスできません
- mii-japan
- ベストアンサー率30% (874/2820)
質問者の認識まちがいです 通常NATやNAPTと言えば 回答1の通りです NATは通常は質問者の解釈のようには使用しません WAN側仮想IPアドレスとか言うのは P2Pとかでのことではないでしょうか (VPNでも仮想IPアドレスの使用は無かったように思います)
- bship
- ベストアンサー率51% (47/92)
仮想IPアドレスと、内部プライベートアドレスを1対1で割り付けることは普通です。WAN側のIPアドレスを意図的に使用したくない場合に有効な手段です。 NAPTも同様です。仮想IPでも実IPでも技術的にはどちらも使用可能です。セキュリティ的には仮想IPの方を使用するべきです。ただし、仮想IPを使用するには、ARP等での実MACアドレス解決の問題があります。Proxy ARPを使用するなり、ARPエントリを手動設定をするなりの必要があります。
お礼
早速のご回答ありがとうございます。 >仮想IPアドレスと、内部プライベートアドレスを1対1で割り付けることは普通です。 つまり、この場合はWAN側には2つのIP(WANのインターフェースとNAT用のバーチャルIP)が必要ということですね。 WAN側インターフェースのIPを使用しても問題ないのでしょうか? なんかWAN側のインターフェースに振られているため、NATとして使うと他に影響が出てしまうのではとも思ってしまいます。漠然とですが・・・ >セキュリティ的には仮想IPの方を使用するべきです。 なるほどです。
- OsieteG00
- ベストアンサー率35% (777/2173)
http://bb.watch.impress.co.jp/cda/bbword/6476.html NAT・・・WAN側のIPアドレスとLAN側のIPアドレスを対応づける技術。LANのIPアドレスと同じ数だけWANのIPアドレスが必要。 NAPT・・・WAN側のIPアドレス・ポート番号とLAN側のIPアドレス・ポート番号を対応づける技術。違うLAN側のIPアドレスに割り当てるのは、WAN側のIPアドレスは同じでもポート番号が違っていれば良い。 NATとNAPTについて認識が多少違うようです。バーチャルIPというのがよく解りません。あくまでもWAN側のIPとLAN側のIPアドレスを変換する技術の事です。
お礼
ご回答ありがとうございます。 >WAN側のIPとLAN側のIPアドレスを変換する技術の事です。 質問下手で申し訳ございません。 上記のようであると認識はしております。 このときのWAN側のアドレスというのはWAN側のインターフェースに設定されているIPアドレスを使うのでしょか? それてもNAT用(NAPT)用に別のIPアドレスを使用するのでしょうか? 例えばLAN側のPCが一台でNATを使用してインターネットへ出る場合。 1)ルータのWAN側のIPでNATを構成する つまり、グローバルIPはひとつでよい。 2)ルータのWAN側のIPとは別のグローバルIPでNATを構成する。 つまり、グローバルIPが二つ必要。 上記のどちらで行うのが正しいのでしょうか? それともどちらでもよいのでしょうか? NATP時も同様なのでしょうか? ご存知でしたらご教授のほどよろしくお願い致します。
お礼
ご回答ありがとうございます。 回答者1への方と同じ質問になってしまいますが、 例えばLAN側のPCが一台でNATを使用してインターネットへ出る場合。 1)ルータのWAN側のIPでNATを構成する つまり、グローバルIPはひとつでよい。 2)ルータのWAN側のIPとは別のグローバルIPでNATを構成する。 つまり、グローバルIPが二つ必要。 上記のどちらで行うのが正しいのでしょうか? それともどちらでもよいのでしょうか? NATP時も同様なのでしょうか?