| IPマスカレードの制限 |
IPマスカレードを使ってクライアントとインターネットとを中継する手段を紹介してきたが,IPマスカレードには幾つかの制限事項があることも覚えておこう。
制限をひと言でいうならば,それはクライアントからインターネット側に接続することはできるが,逆にインターネット側からクライアントに接続することができないという点だ。
またIPマスカレードはTCPポートにのみ作用し,UDPポートに対しては機能しない(UDPの中継はしない)ので,UDPポートを利用した幾つかのアプリケーションは,IPマスカレードを利用したクライアント上では利用できない。UDPポートを利用する例としては,対戦ゲームや音声チャットなどが挙げられる。
UDPポートを利用したアプリケーションも利用できるようにするためには,ipchainsコマンドでUDPポートに穴を開ける方法があるが,今回はその説明割愛する。
少なくとも,WebやFTP,メール,telnetといった基本的な機能はIPマスカレードで問題なく設定可能だ。
| まとめ |
今回は,IPマスカレードを使ってサーバーの下にクライアントを接続する方法を説明した。RP-PPPoEを使う場合には,IPマスカレード用の設定ファイルがすでに用意されており,それを修正するだけで利用できるため,設定は今回説明したように非常に簡単だ。
ところで,クライアントをADSL回線を使ってインターネットと接続するためには,わざわざIPマスカレードを利用したLinuxサーバを用意しなくても,ローカルルータなど市販の製品を購入してくれば,より簡単に使えるのも事実だ。
確かにLinuxサーバを構築するよりも手軽だという点は否めない。しかしLinuxサーバでIPマスカレードを使用すると,用途に応じてipchainsコマンドで自由にパケットフィルタリング設定ができるメリットがある。
また連載第6回で説明したsnmpdをインストールしておけば,ADSL回線を通ったパケット推移の統計を把握することも可能だ。
もちろん市販のローカルルーターにもパケットフィルタリング機能が備わっている。しかし,多くの場合適用できるパケットフィルタリングの数は少なく(15〜30程度),あまり柔軟な設定ができないこともある(もちろん機能重視のローカルルータであれば,そのような制限は少ない。ここで挙げているのは低価格ローカルルータのこと)。
このような見解から,LinuxサーバでIPマスカレードを使ってネットワークを構築すると,応用性が高く,セキュリティを自分で十分に把握し,高めたい場合にはおすすめできるのだ。
ただしセキュリティを高めるためにはipchainsコマンドによる正しいセキュリティの設定が前提であり,よく理解しないまま利用すると,周辺機器のダイヤルアップルータよりもセキュリティ上の危険を伴うことがあるため注意をしたい。特に注意したいのは,せっかくセキュリティのために塞いであるポートを,ipchainsコマンドでむやみやたらと開けるのは推奨できない。最低限,自分の把握できる範囲でポートを開放することを徹底しよう。
ipchainsコマンドの解説は「Linux IPCHAINS-HOWTO」が詳しいので,実際に運用するにあたっては一読することを強く推奨したい。
[大澤文孝,ITmedia]
 |
8/8 |  |
