■ ネット君の疑問・続編

前回に引き続き、ネット君の疑問を解明する。

はい。

じっちゃんの名にかけてっっ!!
謎はすべて解けたっ!!

それはもういいです。

おいおい。
「謎はすべて解けたっ!!」は「犯人はこの中にいるっ!!」の枕詞なんだから、最後まで言わせろ。

枕詞…。
じゃあどうぞ。思う存分言ってください。

よしっ!!
犯人はっ……、やっぱりいい…。

気が済みましたか？
じゃ、ちゃきちゃき話を先に進めてください。

う、うむ。
さて前回ネットワークアドレス変換をやったわけだが。NATには欠点があった。

同時に接続したいホスト数分だけグローバルIPアドレスが必要ってことでしたよね。

そうだ。
グローバルIPアドレス対プライベートIPアドレスは、１：１でなければならない。

１：１だから、プライベートIPアドレスが10個あるならば、グローバルIPアドレスも10個必要ってことですよね。

うむ。これではもし同時接続を望むホストが多い場合、結局多くのグローバルIPアドレスが必要だ。
多くのグローバルIPアドレスを取得するには値段もかかるし、それほど多くは割り振ってもらえない。

IPアドレスは不足しつつあるんでしたっけ

そういうことだ。
そこで登場するのがNAPTだ。

前回は、IPマスカレードと呼ばれることが多いって。

■ NAPT

うむ。
もともとはLinuxで開発されたソフトの「IPマスカレード」が先にあって、これを正式に RFCで規定した名前がNAPT(RFC2663)なのだ。 ▼ link

ははぁ。
もともとの名前が普及しちゃったんですね。イーサネットみたいですね。

そうだな。結局NAPTという名前はあまり普及するにいたってない。一番よく使われるのは、IPマスカレードという名前だが、ルータのメーカによっていろいろ適当な名前で呼ばれている。

それはなんか面倒ですねぇ。

うむ、確かに。呼び名は変わっても動作は同じだからな。
ここでは正式な名称である、NAPTに統一させてもらう。

了解です。

さて、このNAPTの最大の特徴は、1つのグローバルIPアドレスで複数台が接続可能ということだ。

１つのグローバルIPアドレスで、複数台が接続可？
それはすごいです。IPアドレスの不足問題が一気に解決できますよ。

うむうむ。そうだろう。
このNAPTでは、IPアドレスだけでなく、ポート番号も変換することによって、複数台接続を可能としている。

ポート番号ごと変換？

そうだ。
複数台接続した場合は、こうなる。

つまりポート番号ごと変換することによって、同じグローバルIPアドレスでも送信元が区別できるわけだ。

ははぁ。なるほど。
上の例で言えば、同じ200.1.2.1宛のパケットでも、宛先ポート番号が6001なら172.16.0.1。6002なら172.16.0.2とわかりますからね。

そういうことだ。
つまりポート番号という情報を追加することにより、NATであった…。

このパケットはどちら宛のパケットか、という問題を解決したわけだ。
これにより、ポート番号が許す限り同時接続が可能になる。

ははぁ。便利な機能ですねぇ。
ちなみに、変換するポート番号はかならず6001番からなのですか？

いや、これはルータの仕様による。なるべく変換しないよう送信元ポート番号が重複した時だけ変換するルータもあるし、特定の範囲内に変換するようにするルータもある。

なるほど。

■ NAPTの他の利点

NAPTは上記のような動きをするのだが、これのおかげで他にも利点がある。

まだあるんですか？
どんな利点です。

セキュリティ面での効果だ。
つまり、以下のような事がおきる。

じゃあ、もしたまたま宛先ポート番号が6001番か6002番だった場合は？

それはさすがに防げない。見た目は正しいパケットだからな。
それを防ぐにはファイアウォールが必要だ。

ははぁ。

だが、よほどの幸運がないとたまたま一致、などというのは起き難い。
よってある程度のセキュリティを守ってくれることになる。さらに、LAN内部の状態を外へ流さない。

LAN内部の状態を外へ流さない？

うむ。外からだと、ルータの持つNAPTで変換されたアドレスが送受信しているように見えるわけだ。

あぁ、なるほど。
変換後しか外には出てこないですからね。

そういうことだ。
だが！

わっ。
なんです？

逆に、このことがNAPTの欠点となる。

そうなんですか？
セキュリティを守れていいと思いますけど。

■ 静的NAPT

それは、LAN内部に外部に公開したいサーバがある場合だ。

LAN内部に外部に公開したいサーバがある場合？

ネット君。もうちょっと質問の仕方を考えたまえ。
同じ言葉を繰り返して、鸚鵡じゃないんだから。

は、はぁすいません。じゃ、気を取り直して…。
ローカルエリアネットワークに、インターネットに公開したいサーバが存在する場合？

変わってねぇ。

はぅっ。

まぁ、ともかく。
つまり以下のような場合だ。

あっ。
さっきのセキュリティ…。

そうだ。NAPTテーブルは変換したものを記憶する。
NAPTテーブルに記憶されていないものは、LAN内部に入らない。

なるほど。セキュリティに役立つ部分が、逆に必要なものまで破棄しちゃうんですね。

そうだ。
これでは結局外部からのアクセスができず、インターネットへ公開できないことになる。

そうなりますね。

この解決策は…。

解決策は？

NAPTテーブルに記憶されていないものは、LAN内部に入らないのだから。
NAPTテーブルに変換を記憶させておけばいい。

あぁ、なるほど…。
って、それはアリなんですか？

もちろんもちろん。
通常のNAPTが、自動的にポート番号を変換するのに対してこちらは手動で変換を入力しておく。よって、これを何と言うネット君？

自動に対して、手動。
もしかして、静的ですか？

うむ。静的NAPTとか、静的マスカレードなどと呼ばれる。

ははぁ。

■ NAPTの欠点

実はNAPTにはもう１つ弱点がある。
例えば、FTPだ。

FTP？
FTPって、Webページをサーバ上に置くときに使う奴ですよね、なにが欠点なんです？

FTPはな、IPヘッダに宛先と送信元のIPアドレス、TCPヘッダに宛先と送信元のポート番号がもちろん使われる。
そして、さらにデータ部分にも送信元のIPアドレスとポート番号が記述されるのだよ。

はぁ。そうなんですか。
それに何か問題が？

もちろんだ。

よって、FTPでのデータ転送は不可能と、こうなるわけだ。

不可能って…。

ちなみに、FTPと同じようにデータ部分にも送信元のIPアドレスとポート番号が記述されるものとしては、IP電話やWindows Messengerなどがある。

どうにもならないんですか？

うむ。残念ながらNAPTだけではこれはどうしようもない。
なので、個別にルータが対応しているのが実情だ。

ははぁ。

つまり、FTPだけ特別扱いにして、対応するということだ。
例えば、以下のようにデータ部分のIPアドレスとポート番号も一緒に変換するという対策がとられている。

しかし、これはルータがFTPの変換に対応していることが条件だ。
しかもFTPが変換できたからといって、Windows Messengerも変換してくれるとは限らない。

う〜ん。
ルータ次第ってことなんですね。買うときに対応しているかどうかチェックする必要がありますね。

FTPなら大体のルータで大丈夫だが。他のはなかなか難しい。 一応新しい技術でこれらのことに対応しようとはしている。例えば、UPnPとかある。

へぇ、なら大丈夫ですね。

うぅむ。現時点では大丈夫と言えん。まだまだ一部のアプリケーションやルータでしか使うことができないからな。
将来に期待、という感じだ。

じゃ、いずれその説明もしていただけるものと信じてますよ。

うむ。
さらに、他にもNAPTを使うと接続できないものもある。

まだあるんですか？

あるのだ。
サーバ側で送信元ポート番号を指定している場合だ。

サーバ側で使う送信元ポート番号を指定？
ということは例えば、ポート番号6001番で接続してきなさい、とか指定するわけですか？

そうだ。そのサーバと接続するための通信アプリケーションは必ずその番号を使うわけだ。
よくネットワークゲームとかで使われる。

ははぁ。
使うポート番号を指定しているとどういうことになるんです？

NAPTはポート番号も変換してしまうだろう？
多くの場合、そういうサーバは指定した以外の送信元ポート番号からの接続は認めず、接続を許可しない。

つまり、通信アプリケーションがその指定した番号でデータを送ったとしても、NAPTでポート番号が変換されて…

接続できない。そういうことだ。
これも個別で対応する必要がある。

なるほど。

さて、ずいぶんと長くなってしまった。
今回はここまで。

はい。

次回は…。
まだ決めてない。

なんですか、そりゃ？

まぁ、そういうこともある。
ともかく、また次回。

はい。
３分間ネットワーキングでした〜♪