この記事を読んでいるなら、おめでとうございます!Webトラフィック用の標準のオープンネットワークポートであるポート80および443を使用して、インターネット上の別のサーバーと正常に対話しています。これらのポートがサーバーで閉じられていると、この記事を読むことができなくなります。閉じたポートは、ネットワーク(およびサーバー)をハッカーから保護します。
Webポートは開いている可能性がありますが、ホームルーターのポートは開いてはいけません。これは、悪意のあるハッカーに穴を開けるからです。ただし、ポートフォワーディングを使用して、インターネット経由でデバイスへのアクセスを許可する必要がある場合があります。ポートフォワーディングについてさらに学ぶために、知っておくべきことは次のとおりです。
ポートフォワーディングとは何ですか?(What Is Port Forwarding?)
ポート(Port)転送は、オンラインデバイスからローカルネットワーク上の特定のデバイスに接続試行を転送するローカルネットワークルーター上のプロセスです。これは、ネットワーク上のデバイスの正しいポートとIPアドレスに対して行われた接続試行と一致するネットワークルーターのポート転送ルールのおかげです。
ローカルネットワークには単一のパブリックIPアドレスがある場合がありますが、内部ネットワーク上の各デバイスには独自の内部IPがあります。ポート(Port)転送は、これらの外部要求をA(パブリックIPおよび外部ポート)からB(ネットワーク上のデバイスの要求されたポートおよびローカルIPアドレス)にリンクします。
これが役立つ理由を説明するために、ホームネットワークが中世の要塞に少し似ていると想像してみましょう。あなたは壁の向こう側を見渡すことができますが、他の人はあなたの防御を覗き込んだり破ったりすることはできません。あなたは攻撃から安全です。
統合されたネットワークファイアウォールのおかげで、ネットワークは同じ位置にあります。Webサイトやゲームサーバーなどの他のオンラインサービスにアクセスすることはできますが、他のインターネットユーザーはその見返りにデバイスにアクセスすることはできません。ファイアウォールが外部接続からのネットワーク侵害の試みを積極的にブロックするため、跳ね橋が上がります。
ただし、このレベルの保護が望ましくない場合もあります。ホームネットワーク上でサーバーを実行する場合(たとえば、Raspberry Piを使用する(using a Raspberry Pi)場合)、外部接続が必要です。
これがポートフォワーディングの出番です。セキュリティを損なうことなく、これらの外部リクエストを特定のデバイスに転送できるからです。
たとえば、パブリックIPアドレスが80.80.100.110であるのに対し、内部IPアドレスが(80.80.100.110)192.168.1.12のデバイスでローカルWebサーバーを実行していると仮定します。ポート転送ルールのおかげで、ポート80(80.90.100.110:80 )への外部要求が許可され、トラフィックは192.168.1.12の(192.168.1.12)ポート80(port 80)に転送されます。
これを行うには、ポート転送を許可するようにネットワークを構成してから、ネットワークルーターで適切なポート転送ルールを作成する必要があります。トラフィックを許可するために、 Windowsファイアウォール(Windows firewall)など、ネットワーク上に他のファイアウォールを構成する必要がある場合もあります。
UPnP(自動ポート転送)を避けるべき理由(Why You Should Avoid UPnP (Automatic Port Forwarding))
ローカルネットワークにポートフォワーディングを設定することは、上級ユーザーにとっては難しいことではありませんが、初心者にとってはあらゆる種類の問題を引き起こす可能性があります。この問題を克服するために、ネットワークデバイスメーカーは、UPnP(またはユニバーサルプラグアンドプレイ(Universal Plug and Play))と呼ばれるポート転送用の自動システムを作成しました。
UPnPの背後にある考え方は、インターネットベースのアプリとデバイスがルーター上にポート転送ルールを自動的に作成して外部トラフィックを許可できるようにすることでした。たとえば、UPnPは、ルーター設定でアクセスを手動で構成しなくても、ゲームサーバーを実行しているデバイスのポートを自動的に開き、トラフィックを転送する場合があります。
コンセプトは素晴らしいですが、悲しいことに、実行には欠陥があります。極端に危険ではないにしても。UPnPは、ネットワーク上で実行されているアプリやサービスが安全であると自動的に想定するため、マルウェアの夢です。UPnPハッキング(UPnP hacks website)のWebサイトは、今日でもネットワークルーターに容易に含まれる不安の数を明らかにしています。
セキュリティの観点から、注意を怠るのが最善です。ネットワークセキュリティを危険にさらすのではなく、自動ポート転送にUPnPを使用しないでください(可能な場合は、完全に無効にしてください)。(UPnP)代わりに、信頼でき、既知の脆弱性がないアプリとサービスの手動ポート転送ルールのみを作成する必要があります。
ネットワークでポートフォワーディングを設定する方法(How to Set Up Port Forwarding on Your Network)
UPnPを回避していて、ポートフォワーディングを手動で設定する場合は、通常、ルーターのWeb管理ページから設定できます。これにアクセスする方法がわからない場合は、通常、ルーターの下部にあるか、ルーターのドキュメントマニュアルに記載されている情報を見つけることができます。
ルーターのデフォルトゲートウェイアドレスを使用して、ルーターの管理ページに接続できます。これは通常、192.168.0.1または同様のバリエーションです。このアドレスをWebブラウザのアドレスバーに入力します。また、ルーターに付属のユーザー名とパスワード(adminなど)を使用して認証する必要があります。
DHCP予約を使用した静的IPアドレスの構成(Configuring Static IP Addresses Using DHCP Reservation)
ほとんどのローカルネットワークは、動的IP割り当てを使用して、接続するデバイスに一時IPアドレスを割り当てます。一定時間後、IPアドレスが更新されます。これらの一時IPアドレスはリサイクルされて他の場所で使用される可能性があり、デバイスには別のローカルIPアドレスが割り当てられている可能性があります。
ただし、ポートフォワーディングでは、ローカルデバイスに使用されるIPアドレスが同じままである必要があります。静的IPアドレスは手動で割り当てることができますが、ほとんどのネットワークルーターでは、 DHCP予約を使用して、ルーターの設定ページで特定のデバイスに静的IPアドレスの割り当てを割り当てることができます。
残念ながら、ルーターの製造元はそれぞれ異なり、以下のスクリーンショット(TP-Linkルーターを使用して作成)に示されている手順は、ルーターと一致しない場合があります。その場合は、ルーターのドキュメントを調べてサポートを強化する必要があります。
まず、Webブラウザを使用してネットワークルーターのWeb管理ページにアクセスし、ルーターの管理者のユーザー名とパスワードを使用して認証します。サインインしたら、ルーターのDHCP設定領域にアクセスします。
すでに接続されているローカルデバイスをスキャンできる場合(必要な割り当てルールを自動入力するため)、または静的IPを割り当てるデバイスに特定のMACアドレスを指定する必要がある場合があります。(specific MAC address)正しいMACアドレスと使用するIPアドレスを使用してルールを作成し、エントリを保存します。
新しいポート転送ルールの作成(Creating a New Port Forwarding Rule)
デバイスに静的IP(手動で設定またはDHCP割り当て設定で予約済み)がある場合は、移動してポート転送ルールを作成できます。この条件は異なる場合があります。たとえば、一部のTP-Linkルーターはこの機能を仮想サーバー(Virtual Servers)と呼びますが、Ciscoルーターは標準名(ポートフォワーディング(Port Forwarding))で呼びます。
ルーターのWeb管理ページの正しいメニューで、新しいポート転送ルールを作成します。このルールでは、外部ユーザーが接続する外部(external)ポート(またはポート範囲)が必要になります。このポートは、パブリックIPアドレスにリンクされています(たとえば、パブリックIP 80.80.30.10の場合はポート(80.80.30.10)80)。
また、外部(external)ポートからトラフィックを転送する内部(internal)ポートを決定する必要があります。これは、同じポートまたは代替ポート(トラフィックの目的を隠すため)である可能性があります。また、ローカル(local)デバイスの静的IPアドレス(例:192.168.0.10)と使用中のポートプロトコル(例:TCPまたはUDP )を提供する必要があります。
ルーターによっては、サービスタイプを選択して、必要なルールデータを自動的に入力できる場合があります(たとえば、ポート80の場合はHTTP、ポート443の場合はHTTPS )。ルールを構成したら、それを保存して変更を適用します。
追加の手順(Additional Steps)
ネットワークルーターは、ファイアウォールルールに変更を自動的に適用する必要があります。開いているポートに対して行われた外部接続の試行は、作成したルールを使用して内部デバイスに転送する必要がありますが、複数のポートまたはポート範囲を使用するサービスに対して追加のルールを作成する必要がある場合があります。
問題が発生した場合は、トラフィックが通過できるように、PCまたはMacのソフトウェアファイアウォール( Windowsファイアウォール(Windows Firewall)を含む)にファイアウォールルールを追加することも検討する必要があります。たとえば、 Windowsファイアウォールは通常、外部接続を許可しないため、 (Windows Firewall)Windowsの[設定](Windows Settings)メニューでこれを構成する必要がある場合があります。
Windowsファイアウォール(Windows Firewall)が問題を引き起こしている場合は、一時的に無効に(disable it temporarily)して調査することができます。ただし、セキュリティ上のリスクがあるため、問題のトラブルシューティング後に(Due)Windowsファイアウォールを再度有効にすることをお勧めします。これにより、(Windows Firewall)ハッキングの試み(possible hacking attempts)に対する保護が強化されます。
ホームネットワークの保護(Securing Your Home Network)
ポートフォワーディングの設定方法を学びましたが、リスクを忘れないでください。開いたポートごとに、ルーターのファイアウォールを越えて、ポートスキャンツール(port scanning tools)が見つけて悪用できる別の穴が追加されます。特定のアプリやサービスのポートを開く必要がある場合は、侵害される可能性のある巨大なポート範囲ではなく、個々のポートに制限するようにしてください。
ホームネットワークが心配な場合は、サードパーティのファイアウォールを追加することで(adding a third-party firewall)ネットワークセキュリティを強化できます。これは、PCまたはMac(Mac)にインストールされているソフトウェアファイアウォール、またはすべてのデバイスを一度に保護するためにネットワークルーターに接続されているFirewallaGoldなどの24時間年中無休のハードウェアファイアウォールである可能性があります。
What Is Port Forwarding and How to Set It Up On Your Router
If you’re reading this article, congratulations! You’re succesѕfully interacting with another server on the internet using ports 80 and 443, the standard open network ports for web traffic. If these portѕ were closed on our server, you wouldn’t be able to read thіs article. Closed ports kееp your network (аnd our servеr) sаfe from hackers.
Our web ports might be open, but your home router’s ports shouldn’t be, as this opens a hole for malicious hackers. However, you may need to allow access to your devices over the internet using port forwarding from time to time. To help you learn more about port forwarding, here’s what you’ll need to know.
What Is Port Forwarding?
Port forwarding is a process on local network routers that forwards connection attempts from online devices to specific devices on a local network. This is thanks to the port forwarding rules on your network router that match the connection attempts made to the correct port and IP address of a device on your network.
A local network may have a single public IP address, but each device on your internal network has its own internal IP. Port forwarding links these outside requests from A (the public IP and external port) to B (the requested port and local IP address of the device on your network).
To explain why this might be useful, let’s imagine that your home network is a little like a medieval fortress. While you can look out beyond the walls, others can’t look in or breach your defenses—you’re secure from attack.
Thanks to integrated network firewalls, your network is in the same position. You can access other online services, such as websites or game servers, but other internet users can’t access your devices in return. The drawbridge is raised, as your firewall actively blocks any attempts from outside connections to breach your network.
There are some situations where this level of protection is undesirable, however. If you want to run a server on your home network (using a Raspberry Pi, for instance), outside connections are necessary.
This is where port forwarding comes in, as you can forward these outside requests to specific devices without compromising your security.
For example, let’s assume you’re running a local web server on a device with the internal IP address 192.168.1.12, while your public IP address is 80.80.100.110. Outside requests to port 80 (80.90.100.110:80) would be allowed, thanks to port forwarding rules, with the traffic forwarded to port 80 on 192.168.1.12.
To do this, you’ll need to configure your network to allow port forwarding, then create the appropriate port forwarding rules in your network router. You may also need to configure other firewalls on your network, including the Windows firewall, to allow the traffic.
Why You Should Avoid UPnP (Automatic Port Forwarding)
Setting up port forwarding on your local network isn’t difficult for advanced users, but it can create all types of difficulties for novices. To help overcome this issue, network device manufacturers created an automated system for port forwarding called UPnP (or Universal Plug and Play).
The idea behind UPnP was (and is) to allow internet-based apps and devices to create port forwarding rules on your router automatically to allow outside traffic. For instance, UPnP may automatically open ports and forward traffic for a device running a game server without the need to manually configure access in your router settings.
The concept is brilliant, but sadly, the execution is flawed—if not extremely dangerous. UPnP is a malware’s dream, as it automatically assumes that any apps or services running on your network are safe. The UPnP hacks website reveals the number of insecurities that, even today, are readily included with network routers.
From a security point of view, it’s best to err on the side of caution. Rather than risk your network security, avoid using UPnP for automatic port forwarding (and, where possible, disable it entirely). Instead, you should only create manual port forwarding rules for apps and services that you trust and that have no known vulnerabilities.
How to Set Up Port Forwarding on Your Network
If you’re avoiding UPnP and want to set up port forwarding manually, you can usually do so from your router’s web administration page. If you’re unsure how to access this, you can usually find the information on the bottom of your router or included within your router’s documentation manual.
You can connect to your router’s admin page using the default gateway address for your router. This is typically 192.168.0.1 or a similar variation—type this address into your web browser’s address bar. You’ll also need to authenticate using the username and password supplied with your router (e.g. admin).
Configuring Static IP Addresses Using DHCP Reservation
Most local networks use dynamic IP allocation to assign temporary IP addresses to devices that connect. After a certain time, the IP address is renewed. These temporary IP addresses may be recycled and used elsewhere, and your device may have a different local IP address assigned to it.
However, port forwarding requires that the IP address used for any local devices remain the same. You can assign a static IP address manually, but most network routers allow you to assign a static IP address allocation to certain devices in your router’s settings page using DHCP reservation.
Unfortunately, each router manufacturer is different, and the steps shown in screenshots below (made using a TP-Link router) may not match your router. If that’s the case, you may need to look through your router’s documentation for more support.
To begin, access your network router’s web administration page using your web browser and authenticate using the router’s administrator username and password. Once you’ve signed in, access your router’s DHCP settings area.
You may be able to scan for local devices already connected (to autofill the required allocation rule) or you may need to provide the specific MAC address for the device you wish to assign a static IP to. Create the rule using the correct MAC address and the IP address you wish to use, then save the entry.
Creating a New Port Forwarding Rule
If your device has a static IP (set manually or reserved in your DHCP allocation settings), you can move to create the port forwarding rule. The terms for this can vary. For instance, some TP-Link routers refer to this feature as Virtual Servers, while Cisco routers refer to it by the standard name (Port Forwarding).
In the correct menu on your router’s web administration page, create a new port forwarding rule. The rule will require the external port (or port range) that you wish outside users to connect to. This port is linked to your public IP address (e.g. port 80 for public IP 80.80.30.10).
You’ll also need to determine the internal port that you wish to forward the traffic from the external port to. This could be the same port or an alternative port (to hide the traffic’s purpose). You’ll also need to provide the static IP address for your local device (e.g. 192.168.0.10) and the port protocol in use (e.g. TCP or UDP).
Depending on your router, you may be able to select a service type to automatically fill the required rule data (e.g. HTTP for port 80 or HTTPS for port 443). Once you’ve configured the rule, save it to apply the change.
Additional Steps
Your network router should automatically apply the change to your firewall rules. Any outside connection attempts made to the opened port should be forwarded to the internal device using the rule you created, although you may need to create extra rules for services that use several ports or port ranges.
If you’re having trouble, you may also need to consider adding extra firewall rules to your PC or Mac’s software firewall (including Windows Firewall) to allow the traffic through. Windows Firewall won’t usually allow outside connections, for instance, so you may need to configure this in the Windows Settings menu.
If Windows Firewall is causing you difficulty, you can disable it temporarily to investigate. Due to the security risks, however, we’d recommend that you re-enable Windows Firewall after you troubleshoot the issue as it provides added protection against possible hacking attempts.
Securing Your Home Network
You’ve learned how to set up port forwarding, but don’t forget the risks. Each port you open adds another hole past your router’s firewall that port scanning tools can find and abuse. If you need to open ports for certain apps or services, make sure you limit them to individual ports, rather than huge port ranges that could be breached.
If you’re worried about your home network, you can boost your network security by adding a third-party firewall. This could be a software firewall installed on your PC or Mac or a 24/7 hardware firewall like the Firewalla Gold, attached to your network router to protect all of your devices at once.
