ブロードバンドルータのDMZホスト機能

多くのブロードバンドルータには、DMZホスト(ホスティング)機能と呼ばれる機能が備わっています。

DMZホスト(ホスティング)機能とは、WAN側からの通信を、LAN側の特定のパソコンへ転送するための機能です。
ポート開放(ポートフォワーディング)と似ていますが、転送条件などが異なります。

ブロードバンドルータのDMZホスト(ホスティング)機能について簡単に説明します。

DMZとは

DMZとは、「DeMilitarized Zone」の略で、直訳すると「非武装地帯」となります。
このような名前で呼ばれるのは、外部からのアクセスに対して、完全な防御を行っていないネットワークエリアを指すからです。

企業などのネットワークでは、公開Webサーバやメールサーバ、リモートアクセス用のサーバなど、外部からのアクセスを受け付けなければならないサーバがあります。
内部ネットワークのセキュリティを維持するためには、外部からアクセス可能なサーバ類を一まとめにし、専用のネットワークに置く必要があります。
そこで、内部と外部の中間的なネットワークを作り、そこへ外部からアクセス可能なサーバ類を置く方法が用いられます。
この、内部と外部の中間的なネットワークがDMZです。

DMZは内部と外部の中間的なネットワーク

上図のように、DMZは独立したネットワークにするのが一般的な運用方法です。
このようなネットワーク構成にすることで、外部からの不正なアクセスでDMZ内のサーバに問題が発生した場合でも、内部のネットワークに与える影響を最小限に食い止めることができます。

ブロードバンドルータのDMZホスト機能とは

DMZの概要について説明してきましたが、家庭向けのブロードバンドルータが備えているDMZホスト機能は、少し内容が異なります。
ブロードバンドルータのDMZホスト機能とは、ブロードバンドルータが把握していないWAN側からの通信を、LAN側へ転送する機能のことです。
少し詳しく説明します。

通常、ブロードバンドルータがWAN側からLAN側へ転送を行う通信は、LAN側からの通信に対する返信のみです。
(ポート開放を設定している場合は、その通信も転送されます。)
それ以外のWAN側からの通信(ブロードバンドルータが把握していない通信)は無視されます。

通常は無視される、ブロードバンドルータが把握していないWAN側からの通信を、LAN側にある特定のパソコンへ転送する機能が「DMZホスト機能」です。
上記の通信は、DMZホストとして指定されたパソコンへ自動的に転送されるようになります。

WAN側からの転送先不明なパケットは、DMZホストに設定されたパソコンへ転送される

DMZホストとして指定できるのは、家庭内LANに接続されたパソコン(またはその他の機器)です。
DMZホストとして、ほぼ無条件に外部からのアクセスを受け付けるパソコンと、その他のパソコンが、同じネットワークに共存することになるため、セキュリティ上あまり好ましくはありません。
(DMZ専用のネットワークを設定できる機種もあります。)

可能であれば、特定のポート番号を指定して設定できる、ポート開放(ポートフォワーディング)を利用した方がよいと思います。
DMZホスト機能は、ポート番号を特定できない場合のみ使用するようにしましょう。

DMZホストとなるパソコンはIPアドレスの固定が必要

ブロードバンドルータでDMZホストの設定を行う前に、DMZホストとなるパソコン側の準備を行います。。
準備とは、ポート開放を行う場合と同じように、DMZホストとなるパソコン(またはその他の機器)のIPアドレスを固定することです。

ブロードバンドルータを利用している場合、LAN側のパソコンは、IPアドレスを自動的に取得する設定になっていることが多いと思います。

IPアドレスを自動的に取得する設定

しかし、このままでは、IPアドレスの割り当てがブロードバンドルータに一任されているため、いつも同じIPアドレスが割当てられるとは限りません。
DMZホストの設定では、LAN側の転送先となるIPアドレスを1つだけ指定することになるので、この状態は好ましくありません。

転送先となるパソコンが、常に同じIPアドレスになるように、IPアドレスの設定を固定する必要があります。
設定するIPアドレスは、家庭内のLAN環境に合った設定にしなければなりません。
下図はIPアドレス固定設定の例です。

IPアドレス固定設定の例

IPアドレスの末尾を「100」などの大きな数字にしているのは、ブロードバンドルータが自動的に割当てる数字と重ならないようにするためです。
この後、IPアドレスを固定したパソコンへ外部からのアクセスが転送されるように、ブロードバンドルータのDMZホスト設定を行います。

ブロードバンドルータのDMZホスト設定

DMZホストとなるパソコンのIPアドレスを固定したら、ブロードバンドルータへDMZホストの設定を行います。
説明に使用するブロードバンドルータは、「BUFFALO WHR-AMPG」です。

まず、付属のツールなど利用して、ブロードバンドルータの設定画面を呼び出します。
AirStation設定ツールの場合は、設定を行うブロードバンドルータを選択して、「WEB設定」をクリックします。
※ブラウザのアドレス欄に「http://192.168.11.1/」(ブロードバンドルータのLAN側IPアドレス)と入力しても設定画面を呼び出せます。

設定を行うブロードバンドルータを選択して、「WEB設定」をクリック

認証画面が表示されるので、ユーザー名に「root」と入力し、「OK」をクリックします。

ユーザー名に「root」と入力し、「OK」をクリック

設定のTOP画面が表示されるので、「ゲーム&アプリ」をクリックします。

「ゲーム&アプリ」をクリック

ポート変換の画面が表示されるので、「DMZ」をクリックし、DMZ設定の画面を表示させます。

「DMZ」をクリック

DMZ設定の画面が表示されます。
DMZホストとなるパソコンのIPアドレスを入力し、「設定」ボタンをクリックします。

DMZホストとなるパソコンのIPアドレスを入力し、「設定」ボタンをクリック

以上でブロードバンドルータのDMZホスト設定は終了です。
ブロードバンドルータが把握していないWAN側からの通信は、DMZホストとして指定したIPアドレスのパソコンへ、自動的に転送されるようになります。

説明の中でも触れましたが、DMZホストの設定を行うことは、セキュリティ上あまり好ましくありません。
DMZホストに指定されたパソコンは、ほぼ無条件にWAN側からの通信を転送されることになるからです。

DMZホストの設定を行う場合は、DMZホストとなるパソコン側でセキュリティ対策を行ったほうがよいでしょう。
また、万一に備え、DMZホストとなるパソコンには、重要なデータを保存しない方がよいと思います。
設定を行う場合は、これらのことに十分注意して行ってください。

▲ページの最上部へ戻る