DMZポートを利用して自宅サーバをインターネットに公開したい

公開サーバで使用するアプリケーションのポートの数が多い場合や、ポート番号が動的に変化するような場合などはDMZポートの活用が有効です。

DMZポートに接続したサーバをインターネットに公開する際の設定例を示します。(MR404DVで構成する場合も同じ設定になります)
特定の条件に一致しないインターネット側からのすべてのアクセスを、DMZ上の公開サーバへ転送させます。
外部からアクセスするために、WAN側に固定のグローバルIPアドレスが1つ必要です。
DMZポートを利用して自宅サーバをインターネットに公開したい
設定概要
・PPPoEクライアント設定
ISPから指定されたインターネット接続用アカウントをルータに設定します。
ユーザID: abcde@isp1.co.jp
パスワード: abcde123
 
・IPアドレス設定
ルータのLAN側ネットワークアドレス: 10.1.1.0/24
ルータのIPアドレス: 10.1.1.254/24
※WAN側のIPアドレス(グローバルIPアドレス)はIPCPで取得するため、明示的に設定しません
 
・DHCPサーバ機能
LAN内のクライアントにIPアドレス、デフォルトゲートウェイ、DNSアドレスの情報を配布します。
配布するIPアドレス範囲: 10.1.1.1 ~ 10.1.1.99
※デフォルトゲートウェイ、DNSアドレスはルータのIPアドレスが通知されます
 
・DMZポート設定
DMZ利用を有効にし、DMZポートに接続するホスト(サーバ)のIPアドレスを定義します。
DMZに接続するサーバのIPアドレス: 10.1.1.200/24
また、インターネットからサーバへのアクセスを許可するためのIPフィルタリング設定を行います。
(補足)
LANのクライアントがインターネットへ接続できるようにするためのNAPT(IPマスカレード)機能については、本製品では工場出荷時の状態で有効になっていますので、改めて設定する必要はありません。
 
設定
ip address 10.1.1.254/24
ip dhcp address 10.1.1.1/99
ip dhcp server on
dmz port on
ip dmzhost address 10.1.1.200
ip filter 1 pass in * 10.1.1.200/32 * wanany
remote 0 name INTERNET
remote 0 mode terminal
remote 0 ppp ipcp address on
remote 0 ppp ipcp dns on
remote 0 dos mode on
remote 0 dos log on
remote 0 mss mode on
remote 0 mss size 1414
remote 0 mtu 1454
remote 0 send id abcde@isp1.co.jp
remote 0 send password abcde123
remote 0 disconnect idle 0
remote 0 pppoe keepalive on
remote 0 pppoe always on
ip route 0.0.0.0/0/7 remote 0 auto
解説
ip address 10.1.1.254/24
ルータのLAN側IPアドレスを10.1.1.254/24に設定します。
 
ip dhcp address 10.1.1.1/99
ip dhcp server on
DHCPで配布するアドレス範囲を 10.1.1.1~10.1.1.99 に設定し、DHCPサーバ機能を有効にします。
 
dmz port on
ip dmzhost address 10.1.1.200
DMZポート利用を有効にし、接続するホスト(公開サーバ)のIPアドレスを指定します。
 
ip filter 1 pass in * 10.1.1.200/32 * wanany
インターネット側から公開サーバへのアクセスを許可するためのフィルタ設定を行います。
本例ではすべてのプロトコルによる外部からのアクセスが許可されますが、フィルタを変えることによってプロトコルを制限することも可能です。

たとえばDMZにWebサーバを置いて、外部からのアクセスはhttp(TCP:80)とhttps(TCP:443)だけを許可したいというような場合は、次のフィルタを設定します。
ip filter 1 pass in * 10.1.1.200/32 tcp * 80 wanany
ip filter 2 pass in * 10.1.1.200/32 tcp * 443 wanany
ip filter 3 reject in * 10.1.1.200/32 * wanany
 
remote 0 name INTERNET
ISPとの接続を接続相手番号0(remote 0)として定義します。名称を「INTERNET」とします。
 
remote 0 mode terminal
ISPと端末型接続します。
(デフォルト設定値のため、コンフィグには表示されません)
 
remote 0 ppp ipcp address on
remote 0 ppp ipcp dns on
PPPoE接続時、IPCPでWAN側のIPアドレスおよびDNSアドレスを取得します。
(デフォルト設定値のため、コンフィグには表示されません)
 
remote 0 dos mode on
remote 0 dos log on
DoS攻撃防御機能、DoS攻撃に関するログ出力を有効にします。
(デフォルト設定値のため、コンフィグには表示されません)
 
remote 0 mss mode on
remote 0 mss size 1414
remote 0 mtu 1454
NTT東西のフレッツサービスをご利用の場合、MTU=1454/MSS=1414に設定します。
(デフォルト設定値のため、コンフィグには表示されません)
 
remote 0 send id abcde@isp1.co.jp
remote 0 send password abcde123
ISPから指定されたインターネット接続用アカウント(ユーザID、パスワード)を設定します。
 
remote 0 disconnect idle 0 ・・・(1)
remote 0 pppoe keepalive on ・・・(2)
remote 0 pppoe always on ・・・(3)
インターネットに常時接続するためのオプション機能です。
(1) 回線自動切断タイマを0秒(無効)にします。
(2)(3) ルータ起動時に自動的にPPPoE接続を行い、また何らかの原因で回線が切断された際には定期的に再接続を試みます。
 
ip route 0.0.0.0/0/7 remote 0 auto
ルータのデフォルトルートをremote 0 に設定します。
 
印刷用PDFファイルはこちらから(60.6K) PDFファイルをご覧になるには、
Adobe Readerが必要です。
AdobeReaderダウンロードページはこちら