https://www.ap-siken.com/kakomon/23_aki/pm05.html
他のスレもみましたが、
設問3でルーター２をブリッジに設定し、同じネットワークとするという答えは理解したのですが、これって普通なんでしょうか？

ノートPCからNAS宛ての通信するのにルーター１のグローバルIPアドレスまでしか通信がいかないということですが、これって静的NAPTをルーター１が使っていないという前提としての対処法なんでしょうか。

私が考えたのは、ルーター１のグローバルIPアドレスをNASのプライベートアドレスとペアで静的NAPTをつかい、NATテーブルに登録しておけば、PCからグローバルIPアドレス宛の通信が来たときにルーターがNAPTテーブルで変換して転送するので、通信は届くと思ったんですが。
もちろん他のPCの分のグローバルIPアドレスは増やさないといけないですが。
というか一般的に他のLANから使用されるサーバーがあるLANはサーバー用に静的NATを使うのが普通だと思っていました。

非IT職です。よろしくお願いします。

>これって静的NAPTをルーター１が使っていないという前提としての対処法なんでしょうか。

基本的にはDMZでローカルIPで公開する構成以外はないものと考えて良いです。静的NAPTを作るのはFWに穴をあけるのと同等のセキュリティリスクが伴います。

静的NAPTは外部からの不正アクセスの可能性を生みます。
たとえば、NASが外部からの攻撃でマルウェアに感染すればどうなるでしょうか？同一セグメントに設置されたPCに被害が及ぶのは想像に難くないです。

この投稿は投稿者により削除されました。(2023.08.24 01:11)

ご質問のイメージが分かりませんでした。

図１には具体的なIPアドレス例が与えられているので、
その値で例示していただけると回答できるかもしれません。

> 私が考えたのは、ルーター１のグローバルIPアドレスを
> NASのプライベートアドレスとペアで静的NAPTをつかい、
> NATテーブルに登録しておけば、

 NATであるなら どのIPアドレス同士を、
NAPTであるなら どのIPアドレス＋ポート番号 同士を、
ルータ1の静的テーブルに登録すると考えていらっしゃるのですか？

> もちろん他のPCの分のグローバルIPアドレスは増やさないといけないですが。

これも分からなかったです。/28 なので
xxx.yyy.zzz.244、xxx.yyy.zzz.245、xxx.yyy.zzz.246
の3つは図１で用いることができますが、
これをどう使うと考えていらっしゃるのですか？

> 一般的に他のLANから使用されるサーバーがあるLANは
> サーバー用に静的NATを使うのが普通だと思っていました。

No.2で回答があったように、ノートPC1、ノートPC2からだけでなく、
インターネットからNASにパケットが到達するリスクは生じるでしょう。

2人の方ありがとうございます。
DMZじゃないからだめということなんですかね。
ルーター1にFW機能があり、ルーター２からのパケットしか通さないというような設定をしていれば私の案の静的NAPTでいけるとおもったんですが。。。
質問に数値をいれてみました。わかりにくくてすみません。


https://www.ap-siken.com/kakomon/23_aki/pm05.html
他のスレもみましたが、
設問3でルーター２をブリッジに設定し、同じネットワークとするという答えは理解したのですが、これって普通なんでしょうか？

ノートPCからNAS宛ての通信するのにルーター１のグローバルIPアドレス(xxx.yyy.zzz.242)までしか通信がいかないということですが、これって静的NAPTをルーター１が使っていないという前提としての対処法なんでしょうか。

私が考えたのは、ルーター１のグローバルIPアドレス(xxx.yyy.zzz.242)をNASのプライベートアドレス（192.168.0.201)とペアで静的NAPTでNATテーブルにあらかじめ登録しておけば、PCからグローバルIPアドレス(xxx.yyy.zzz.242)宛の通信が来たときにルーターがNAPTテーブルで変換して転送するので、通信は届くと思ったんですが。
もちろんこの場合、NASがグローバルIPアドレス(xxx.yyy.zzz.242)を占有することになるので他のデスクトップPCがインターネットの世界に出るときは、グローバルIPアドレスが足りなくなるので、新たに増やさないといけないですが。
というか一般的に他のLANから使用されるサーバーがあるLANはサーバー用に静的NATを使うのが普通だと思っていました。

非IT職です。よろしくお願いします。

>設問3でルーター２をブリッジに設定し、同じネットワークとするという答えは理解したのですが、これって普通なんでしょうか？

ルータ2は、無線LANルータです。殆どの無線LANルータにはAPモードというルータを使用しない、APとしてだけ動作させる機能が備わっています。
ブリッジ機能とは単にAPとして利用することを意味します。上位にルータが存在すれば、APとして利用することは普通にあります。

>ノートPCからNAS宛ての通信するのにルーター１のグローバルIPアドレス(xxx.yyy.zzz.242)までしか通信がいかないということですが、
>これって静的NAPTをルーター１が使っていないという前提としての対処法なんでしょうか。

その認識で間違いありません。
前回も記した通り、静的NAPTは、DMZでない限り前提として記載することはまずありません。
導入している場合、注釈が入ります。

また、静的NAPT追加による影響度の評価やアクセスリストなどのアクセス制御が必要となります。
私が過去扱ったPJでFWに静的NAPTとフィルタリングルールを追加したケースはありましたが、PCセグメントとは別セグメントに変換先を指定しておりました。
確かにFW機能などでアクセス制御をすれば不正アクセスの可能性は限りなく低くなりますが、やはり転送先がPCと同一セグメントというのは、違和感があります。


>NASがグローバルIPアドレス(xxx.yyy.zzz.242)を占有することになるので他のデスクトップPCがインターネットの世界に出るときは、グローバルIPアドレスが足りなくなるので、新たに増やさないといけないですが。

NAPTは、1つのグローバルIPアドレスを複数のPCの同時アクセスを実現するの設定となります。つまり1対多が実現できます。
PCから送出されたパケットがルータ1を出るときに使用する送信元ポート番号でLAN内のPCを識別しています。
ルータ1で静的NAPTで使用するポート番号と重複せず、ルータ1の送信元ポート番号に不足が生じなければ単一グローバルIPアドレスでも実現可能です。

>一般的に他のLANから使用されるサーバーがあるLANはサーバー用に静的NATを使うのが普通だと思っていました。

社内LANのサーバへのアクセスをインターネット経由で認めるケースとしては、IPsecなどのインターネットVPNでのアクセスが一般的な手法となります。在宅ワーク、拠点間通信などがこちらに該当します。

＞陽射さん
自身のPJ事例も踏まえて、大変わかりやすい説明ありがとうございました。
DMZでないから静的NAPTはあまり使われないということですね。理解しました。
ありがとうございました！