2005年4月 2日

[vine-users:071362] Re: 今現在のインターネット上の交信先のIPアドレスを知る方法?

こんにちは、今野です。

Masa Takahashi <masa@xxxxx> さんが
Sat, 02 Apr 2005 14:13:49 +0900 に
[vine-users:071357] Re: 今現在のインターネット上の交信先のIPアドレスを知る方法? で書きました。
> 基本的には同意なんですが、 NAT の中でのポートフォワードは推奨しかね
> ます。
>
> それならば、ルータ2台のほうが安全かと思います。

私の書いた内容をもう一度読んでみてもらえば判ると思いますが、「ある程度判っ
てきたら」と書いてありますので、なぜセキュリティが必要だとかある程度判っ
てきたらという意味で書いています。


> しかも、(ルータの機種によっては)"簡易 DMZ"やポートフォワードをしている
> マシンに対してのセキュリティ(パケットフィルタリング等)が全く無い場合も
> あるようです。

「簡易DMZ」って言うのは、セキュリティで設置するDMZとは全く関係無いばかり
ではなく、セキュリティの概念も全く無い危険な「なんちゃってDMZ」だと認識
していますので、セキュリティ上のメリットは全くないのは同意です。

で、ポートフォワードと言うのは、ある意味、パケットフィルタリングなのでは
ないでしょうか?
ある一定のポートのみ転送と言うことで、逆に言うと、ある特定のポート以外は
遮断と言う事になりますので。


> また、大坪さんが そのようにしているとは申しませんが、 DHCP で LAN を
> 構築しているのに( IP アドレス指定による)ポートフォワードだと停電等や
> その他の事情によるマシンの再起動等をすると、 IP アドレスが変更になる
> 可能性もあり、そうすると本来外部に公開していないマシンに"外部からの"
> パケットが届く可能性があるわけで、それも危険な事だと思います。

これは、論外では?

---
My Name is KONNO Yousuke.

投稿者 xml-rpc : 2005年4月 2日 14:50
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/13163
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。