[connect24h:3420] Re: お奨めできないルータ

[Hidetoshi Shimokawa <simokawa@xxxxxxxxxxxxxxxxxxx>]

下川と申します.

正確に今までの議論を追ったわけではないですが, なんとなく NAT に
過大な期待を抱きすぎているような気がします.

At Sat, 16 Mar 2002 11:17:27 +0900 (JST),
HIRAMOTO Kouji wrote:
> 「ルータのLAN側インターフェースから、WAN側の 80番ポートにアクセス
> があったら、それを LAN側の Webサーバにポートフォワーディングする」
> 
> という実装は十分可能です。それを実装していないのは、そういう需要を
> ルータのメーカが理解していないか、あるいは単に手抜きでしょう。

私はあまりそうは思いません. 私自身は実際そのような動作をするように
して, NAT を手元で使ってはいますが..

上記の(1)「ルータのLAN側インターフェースから、WAN側の 80番ポートにアクセス
 があったら、それを LAN側の Webサーバにポートフォワーディングする」
と

>   うちは Linux でルータ兼サーバをやっているので、サーバの WAN側イ
> ンターフェースにアクセスしても Linux 機内部で処理されて外にパケッ
> トは出ていかないと思いますけど、敢えて iptables で LAN側インター
> フェースに DNAT してます。:-)

これ(2)は, 状況がかなり違います.

(1) の場合 NAT boxは, 通過する packet の address を, 通常と違って,
source/destination 共に書き替える必要があります.
destination だけ書き替えればよいかと思われるかもしれませんが,
ちょっと考えてみれば, それでは TCP connection は establish できません.

(2)の場合は NAT box と server が同じなので, とても簡単なはなしです.

> p.s.
>   YAMAHA RT100i で WAN側インターフェースにアクセスした場合、パケッ
> トが一旦プロバイダの直近ルータまでいってから戻ってくるという現象は、
> 私も確認しています。(^_^;)

これはある意味で自然な実装とも思えます.
(行きで source address をNATして, 帰りで destination をNATすることによっ
て, 通常の NAT の framework で処理できる)

WANを経由したくなければ, まず, DNS 等の IP address への mapping で解決
すべきかと思います.

下に host が何百台かあると, 徹底できないので, 仕方なく手元では, ややこ
しい filter 書いて対応してます.

/\ Hidetoshi Shimokawa
\/  simokawa@xxxxxxxxxxxxxxxxxxx
PGP public key: http://www.sat.t.u-tokyo.ac.jp/~simokawa/pgp.html

--[PR]------------------------------------------------------------------
とっても便利♪♪ MyPage もう使ってる？
使ってない人は今すぐ登録→ http://www.freeml.com/ctrl/html/UserRegForm
　
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp