ポートフォワーディング101 — 知りたいこと全て

ポートフォワーディングの実用例

ポートフォワーディングは、日常活動に非常に役立つ多くの実世界のシナリオがあります。以下にいくつかを挙げます：

• オフィスから自宅のベビーモニターを通して赤ちゃんの様子を見る

css

• 家を離れているときにセキュリティカメラの映像を視聴する
• 公開ウェブサーバーへのユーザー接続を許可する
• リモートデスクトップソフトウェアを通じて自宅のコンピュータにアクセスする
• ゲームサーバーへの直接接続を形成する
• 自宅ネットワークで制御されているIoTデバイスに接続する
• VoIP通話サーバーへの途切れのない直接アクセスを維持する
• Synology NASやPlex上のサービスにアクセスする
• 紛失したルーターパスワードの回復
• 制限されたウェブサイトへのアクセス
• DDoS攻撃に対するセキュリティ保護の強化
• TeamViewerのようなサーバーを自宅で設定する

Wi-Fiルーターでポートフォワーディングを設定するステップバイステップガイド

ポートフォワーディングには一般にWi-Fiルーターが必要です。このプロセスは、使用するルーターのブランドによって異なる場合がありますが、基本的な手順は似ているはずです。

ステップ 1

まず、ルーターに接続し、管理パネルに移動します。通常、ブラウザのアドレスバーに192.168.0.1または192.168.1.1と入力することでこれを行うことができます。

ログイン後、このようなインターフェースが表示されます：

ステップ 2

ポートフォワーディング設定パネルを開きます。ルーターモデルとファームウェアによって、その位置は異なる場合があります。ZTEルーターの場合、「ポートフォワーディング」としてアプリケーションタブの下にあります。

ステップ 3

WANに接続されているデバイスのプライベートIPアドレスを入力します。

ステップ 4

1,000～65,000のポートから選択し、その内部と外部のポート番号を入力します。両方のポートが必ずしも一致する必要はありません。デバイスが各ポートを認識し、接続を開始する際に関連するポートを使用する必要があります。

ステップ 5

インターネットから受け取ったメッセージを転送する必要があるデバイスのプライベートIPアドレスを入力します。

ステップ 6

トラフィックを転送する必要があるLAN接続デバイスのポート番号を選択します。

ステップ 7

設定を追加した後、インターフェースは次のように表示されます：

ステップ 8

最後に、追加された設定を好きなように編集できます。

ステップ 9

素晴らしい！これで、自宅ネットワークデバイスにアクセスできます。関連するポートと統合するために、ルーターのパブリックIPアドレスを使用してください。「What is my IP」とGoogle検索バーに入力して、パブリックIPアドレスを見つけます。

リクエストがどのようなものか具体的に示すために、ルーターのIPアドレスが987.654.321で、ポート番号4444でノートPCに接続したいとします。ポートフォワーディングプロトコルを通じたルーターのリクエストは次のようになります：987.654.321:4444。これがルーターのIPアドレスと末尾にポート番号を加えたものです。

VPNを使ったポートフォワーディング

ポートフォワーディングのもう一つのアプローチは、良いVPNサービスとアプリを通じて行います。これにより、インターネットを介してVPNサーバーにアクセスできるようになる場合があります。一部のVPNプロバイダーには、ポートフォワーディングを実装し、使用したいポートを選択し、その使用を同時に設定できる機能があります。

すべてのユーザーがVPNを使ったポートフォワーディングを有用と感じるわけではありませんが、特定の状況では確実に役立つでしょう：

• 自宅ネットワークへの遠隔アクセス。
• サーバーと自宅ネットワークのセキュリティ向上。 上級ユーザーは、この機能を使用してセキュアなサーバーと自宅ネットワークを設定することができます。例えば、ビジネスオーナーであれば、従業員が異なるサーバーに接続できるようにこの機能を使用できます。VPNを介してポートフォワーディングを設定することで、VPNなしでは誰もそれらのサーバーにアクセスできないようにします。これで、侵入者にさよならを言うことができます。
• トレントのシード。 他のユーザーがあなたのトレントクライアントに接続してファイルをダウンロードすることをシードと言います。VPNとポートフォワーディングを使用することで、プロセスを加速できます。

VPNを使ったポートフォワーディングの設定方法ステップバイステップガイド

PureVPNを使ってポートフォワーディングを設定するための簡単な手順に従ってください。これらの手順は、使用しているVPNソフトウェアによって異なる場合があります。

ステップ 1

PureVPNにログインします。

ステップ 2

PureVPNアプリの設定に移動し、「ポートフォワーディング」タブを探します。

ステップ 3

設定するをクリックします。

ステップ 4

設定から任意のオプションを選択します：

• すべてのポートを開く。 このオプションはすべてのポートを開き、任意のポートに任意のデータを転送できます。

css

• すべてのポートをブロックする。 このオプションはすべてのポートをブロックし、VPN接続からのすべてのインターネットトラフィックの通過を防ぎます。
• すべてのポートをブロックするが特定のポートのみを有効にする。 このオプションを使用して、他のすべてをブロックしながら特定のポートを開きます。

ステップ 5

設定を適用します。

他のVPNを使用している場合は、最初の2つのステップを完了し、次に使用しているVPNプロトコルのタイプに応じて以下の情報を入力します：

PPTP

PPP
ローカルポート – 1723
プロトコル – TCP

GREチャネル
ポート – 47
プロトコル – その他

IPSec VPN

ローカルポート – 500
プロトコル – UDP

IPSecトンネル
ポート – 4500
プロトコル – UDP

OpenVPN

ローカルポート – 1194
プロトコル – UDP

IKEv2

ポート – 500
プロトコル – UDP

VPNサーバーのパブリックIPを使用して、リモートコンピューターにVPN接続を設定できます。

ポートを開くことはセキュリティに穴を開ける可能性があるため、すべてのVPNプロバイダーがポートフォワーディング機能を提供することに快適ではありません。

SurfSharkやNordVPNのように、特定のプロバイダーはセキュリティの向上がトレードオフの価値があると考えていますが、ポートフォワーディングが禁止されているときに一部のユーザーは不便を感じるかもしれません。

PureVPNアドオンを使用してポートフォワーディングを使用できます。これにより、ポートをデジタルフロンティアに開くことのほとんどのセキュリティリスクが排除されます。

ポートフォワーディングとPureVPNの同期の利点

プライバシーとセキュリティ

• 上級ユーザーは、ポートフォワーディングを使用して、公開IPアドレスをよりよく保護し、不正な人物がネットワークに入ることなくプライバシーを強化できます。

専用IPアドレス

• 多くの組織は、オンラインでビジネスを行う際に同じIPアドレスを使用することを好みます。
• 一部の組織は、異なるサーバー用に複数の専用IPを望むかもしれません。たとえば、開発用に1つ、QA（品質保証）目的で別の1つを望む場合があります。

ポートフォワーディングのメリットとデメリット

VPNなし

メリット

• Wi-Fiルーターのポートフォワーディングは、デバイスのIPアドレスとリッスンするポートがあれば、非常に簡単に設定できます。
• ほとんどのルーターでは、同じデバイスに対して複数のルールを作成できます。
• パスワードを要求せずに、ユーザーを自宅ネットワークに向けることができます。
• DNSとの連携もうまくいきます。

デメリット

• 開いたポートにハッカーやその他の侵入者が入り込み、プライベートネットワークに侵入することが容易になります。
• すべてのデバイスに対してルールを設定する必要があります。
• ルールを追加または変更するには、複数のサイト訪問が必要になります。

VPNあり

メリット

• ポートの設定は比較的簡単で、いくつかのユーザー情報のみが必要です。
• 3つのセキュリティレベルが利用可能です：
  • 第1レベル。 単一のポートのみが利用可能で、ユーザー名とパスワードによる保護があります。
  • 第2レベル。 暗号化により、プライベートネットワークからのすべての着信および発信トラフィックが可能になります。
  • 第3レベル。 パスワード保護により、内部デバイスのセキュリティを強化できます。
• 作成されたルールに関係なく、すべてのデバイスにアクセスを許可できます。
• DNSとの連携もうまくいきます。
• 多くのオペレーティングシステムが追加のクライアントソフトウェアなしで、外部の人気VPNを支持しています。
• NATファイアウォールを迂回することで接続速度を上げることができます。

デメリット

• 内部サーバーに接続するためには、より多くのステップが必要です。ユーザーはまず、VPN接続にログインし、その後サーバーにログインする必要があります。
• 複雑なユーザー名とパスワードが必要で、ユーザーが簡単に忘れてしまう可能性があります。
• 暗号化プロセスにより、時間がかかる場合があります。
• 一部のVPN接続には別途ソフトウェアが必要です。

ポートフォワーディングの種類

ポートフォワーディングには、ローカル、リモート、ダイナミックの3つの一般的な種類があります。

ローカルポートフォワーディング

ローカルポートフォワーディングにより、ユーザーはローカルコンピュータから別のサーバに接続したり、同じコンピュータ上で動作するセキュアシェル（SSH）クライアントのクライアントアプリケーションからデータや情報を安全に転送したりできます。

このプロトコルはすべての操作をSSHレベルで行い、このサーバ側で動作する任意のアプリケーションがSSHのクライアント側のサービスにアクセスできるようにします。このポートフォワーディング方法は、トンネリングスキームと手順によって同じ目標を達成するために使用されます。

これは、特定のWebページをブロックするファイアウォールをバイパスするために使用できます。

リモートポートフォワーディング

リモートポートフォワーディングは、SSH接続のサーバ側のアプリケーションがSSHのクライアント側のサービスにアクセスできるようにします。SSHの他に、独自のトンネリングスキーマもリモートポートフォワーディングを使用します。

この形式のポートフォワーディングにより、ユーザーはSSHまたはトンネルのサーバ側から、トンネルのクライアント側に位置するリモートネットワークサービスに接続できます。

リモートポートフォワーディングにより、他のデバイスがリモートサーバー内のアプリケーションにアクセスできます。

例：

• リモートデスクトップセッションの開始は、リモートポートフォワーディングの一般的な使用例です。これは、SSHを介して、ポート番号5900と宛先デバイスのIPアドレスを使用して実行できます。
• ある組織のリモートワーカーが自宅でFTPサーバーをホストしている場合、他の従業員にこのサーバーへのアクセスを提供するために、組織の内部デバイス上でSSHを介してリモートポートフォワーディングを開始できます。

ダイナミックポートフォワーディング

このプロトコルは、NATファイアウォールの反対側にあるすべての情報とサービスにアクセスするために、ファイアウォールのピンホールを利用します。この方法では、クライアントがセキュアサーバーに安全に接続でき、そのセキュアサーバーが中間者として機能し、1つまたは複数の宛先サーバーへのデータの送受信を行います。

静的ポートフォワーディング vs. 動的ポートフォワーディング

名前が示すように、静的ポートは変わらず、動的ポートは新しい接続が行われるたびに変更される可能性があります。

• ルーターでポートフォワーディングを行う場合、静的ポートは動的なものよりも便利です。なぜなら、ソフトウェア内のポート設定を定期的に変更する必要がないからです。
• 一部のVPNでは、変更されない静的ポートの開放が許可されています。
• 動的ポートフォワーディングは、実装が簡単なため、ユーザーにとってより馴染みがあります。これにより、プロバイダーは使用されていないポートをリサイクルして再割り当てできます。
• トレントやリモートアクセスに動的に割り当てられたポートを使用することは避けた方が良いでしょう。

ポートフォワーディングとトレント

トレント共有、ファイル共有P2Pプロトコルは、シーディングとピアリングに基づいています。

• 着信接続により、他のすべてのトレントユーザーがあなたのBitTorrentクライアントに接続し、特定のファイルからビットやピースをダウンロードできるようになります。
• VPNルーターのNATファイアウォールは、他の人が承認されていない新しい接続を開始するのを防ぎます。ファイアウォールが確立されると、他の着信リンクが許可されますが、これによりトレントやシーディングプロセスが遅くなります。
• BitTorrentユーザーがあなたからファイルやその一部をダウンロードしたい場合、そのクライアントはあなたとの接続を開始する許可を求めます。NATファイアウォールがこれを許可しないため、システムは通知を受け取ります。
• リクエストを受け入れると、クライアントはNATファイアウォールを迂回して接続を成功させることができます。
• しかし、両方のユーザーがNATファイアウォールを実装している場合、このプロセスは不可能です。
• トレント利用時のVPNを使用するには、NATファイアウォールを扱うための回避方法が必要です。

NATファイアウォールは着信接続を阻止するかもしれませんが、ポートフォワーディングを使用してそれらの接続の一部を確立させ、ダウンロード速度を増加させることができます。

ポートフォワーディングのリスク

ポートフォワーディングは、遠隔で作業を行う優れた方法だと考えるかもしれません。しかし、その利点にもかかわらず、リスクが伴います。

• 望まない接続が自宅ネットワークに到達する可能性があります。これには、潜在的なハッカーやその他の許可されていない接続が含まれる可能性があります。

例

実際のシナリオを使用して客観的に見てみましょう。あなたが自分の私立機関で展示会を開催していると想像してください。

1つのホールがこの展示に専用されており、機関外の多くの学者が訪問するよう招待されています。あなたは外部の人々に自分の私立機関のドアを開きました。

これはまだ問題ないように聞こえるかもしれませんが、展示会のホールにのみ興味があると仮定される外部の人々であるとしても、もし1人または複数の悪意のある侵入者が学者に偽装して機関に入ったらどうでしょうか？

彼らが機会があれば保護された施設にアクセスしようとするのを何が止めるでしょうか？

同様に、必要な保護措置を講じずにカメラでポートフォワーディングを設定した場合、侵入者は迅速にあなたのネットワークにアクセスできます — たとえば強力なパスワードを使用するなどです。

彼らはカメラの映像を視聴するだけでなく、コントロールすることさえできるかもしれません。

• 自宅のPCへのリモートアクセスを許可した場合、そのアクセスが不要になったら関連するポートを閉じることを確認してください。さもないと、必要以上にそれらのポートを開いたままにすることは、熱心なハッカーや悪意のある意図を持つ人々にとって歓迎の招待になります。彼らはあなたのデバイスを制御する機会を逃さないでしょう。

css

• したがって、ポートフォワーディングによって露出したデバイスを保護するためには、強力なパスワードの使用が必要です。
• リスクレベルは、ポートフォワーディングを使用した目的や、その開いたポートをリッスンすることを許可したアプリケーションによって異なる場合があります。これが、多くのVPNがポートフォワーディングを容易にしない理由です。

ポートフェイル攻撃

ポートフォワーディングを容易にするVPNは、ポートフェイル攻撃に対して脆弱です。ここで起こることは、攻撃者（ポートフォワーディングを有効にした者）が、犠牲者がポートフォワーディングを有効にしていなくても、他のユーザーのデバイスの実際のIPアドレスを露呈させることができるということです。

多くのVPNプロバイダーがポートフェイルを防止できない場合でも、異なる着信および発信IPアドレスをサーバーに設定することでこれらの攻撃を防ぐことができます。

この攻撃は、VPNがポートフォワーディングを行う際に、一部のユーザーに他のユーザーのプライベートなIPアドレスを漏洩する可能性があることを示しています。その結果、攻撃者は犠牲者のオンラインアクティビティを追跡したり、その他の悪意のある活動を行うことが可能になります。したがって、ポートフォワーディング機能を提供する際、VPNプロバイダーはこの種のセキュリティリスクを考慮し、ユーザーのプライバシーを保護するための適切な対策を講じる必要があります。

結論

ポートフォワーディングを検討している場合は、そのメリットとリスクをよく理解する必要があります。ポートフォワーディングを使えば、以前よりもはるかに簡単に自宅ネットワークにアクセスできるようになります。

セキュリティの問題に関する懸念から、一部のVPNプロバイダーはポートフォワーディングをサポートしていませんが、開かれたポートのネイティブな弱点を克服するセキュリティパッチを実装するための解決策が提案されています。