JP2013141071A - Relay server - Google Patents

Relay server Download PDF

Info

Publication number
JP2013141071A
JP2013141071A JP2011289644A JP2011289644A JP2013141071A JP 2013141071 A JP2013141071 A JP 2013141071A JP 2011289644 A JP2011289644 A JP 2011289644A JP 2011289644 A JP2011289644 A JP 2011289644A JP 2013141071 A JP2013141071 A JP 2013141071A
Authority
JP
Japan
Prior art keywords
address
relay server
unit
filter
wan
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011289644A
Other languages
Japanese (ja)
Other versions
JP5845898B2 (en
Inventor
Yasutake Ueda
泰毅 上田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Murata Machinery Ltd
Original Assignee
Murata Machinery Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Murata Machinery Ltd filed Critical Murata Machinery Ltd
Priority to JP2011289644A priority Critical patent/JP5845898B2/en
Publication of JP2013141071A publication Critical patent/JP2013141071A/en
Application granted granted Critical
Publication of JP5845898B2 publication Critical patent/JP5845898B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a configuration to improve security of a relay server that connects to a WAN by use of a radio communication terminal.SOLUTION: A LAN interface 34 utilizes a private IP address which a global IP address was address converted into when it connects to the Internet 14. A USB interface 35 utilizes the global IP address when it connects to the Internet 14. An address filter unit 37 filters a packet on the basis of a set permitted address. A filter address storage unit 41 stores the permitted address to be set for the filtering at the address filter unit 37. A filter setting unit 42 sets the permitted address stored in the filter address storage unit 41 to the address filter unit 37 when the USB interface 35 is used to connect to the Internet.

Description

本発明は、主として、異なるLANに接続されている端末間の通信を可能とする中継サーバの構成に関する。   The present invention mainly relates to a configuration of a relay server that enables communication between terminals connected to different LANs.

遠隔地にあるLAN(Local Area Network)同士を、インターネットなどのWAN(Wide Area Network)を介して接続するVPN(Virtual Private Network)が開発されている。このような技術は、例えば特許文献1に開示されている。特許文献1に記載の技術は、各LANに中継サーバを設置し、当該中継サーバ同士がWANを介した中継通信を行うことにより、異なるLANに所属しているクライアント端末同士を相互に通信可能とするものである。   A VPN (Virtual Private Network) that connects LANs (Local Area Networks) at remote locations via a WAN (Wide Area Network) such as the Internet has been developed. Such a technique is disclosed in Patent Document 1, for example. The technology described in Patent Document 1 enables a client server belonging to a different LAN to communicate with each other by installing a relay server in each LAN and performing relay communication between the relay servers via the WAN. To do.

中継サーバは、自身が接続されるLANのゲートウェイを介して、WANにアクセスする。この場合、中継サーバにはLAN内のプライベートIPアドレスを割り当てることができる。従って、当該中継サーバへのアクセスはプライベートIPアドレスで行われることになるので、LANの外部から中継サーバへの無用な接続を防ぎ、セキュリティを高めることができる。   The relay server accesses the WAN via a LAN gateway to which the relay server is connected. In this case, a private IP address in the LAN can be assigned to the relay server. Therefore, since the access to the relay server is performed with the private IP address, unnecessary connection from the outside of the LAN to the relay server can be prevented and security can be improved.

一方で、近年、WANに対して有線で接続することが難しい環境でもVPNに参加したいというニーズが高まっている。このようなニーズに対応するため、前記中継サーバに、携帯電話回線(移動体通信網)に接続するための無線通信端末(いわゆるデータ通信カード)を設ける場合がある。この無線通信端末を備えた中継サーバは、携帯電話回線を介してWANに接続することができるので、有線でWANに接続することが難しい環境であってもVPNに参加することが可能となる。例えば特許文献2は、携帯電話をPCに接続することで、携帯電話通信網を利用してVPNを行う構成を開示している。   On the other hand, in recent years, there is an increasing need to participate in VPN even in an environment where it is difficult to connect to a WAN by wire. In order to respond to such needs, a wireless communication terminal (so-called data communication card) for connecting to a mobile phone line (mobile communication network) may be provided in the relay server. Since the relay server provided with this wireless communication terminal can be connected to the WAN via the mobile phone line, it can participate in the VPN even in an environment where it is difficult to connect to the WAN by wire. For example, Patent Document 2 discloses a configuration in which VPN is performed using a mobile phone communication network by connecting a mobile phone to a PC.

特開2009−157825号公報JP 2009-157825 A 特開2008−219643号公報JP 2008-219643 A

中継サーバが携帯電話回線を利用してWANに接続する場合、当該中継サーバにはグローバルIPアドレスが割り当てられるので、当該中継サーバへのアクセスはグローバルIPアドレスで行うことになる。グローバルIPアドレスでアクセスできるということは、当該IPアドレスさえ分かれば誰でもアクセスできるということであるため、セキュリティ上の観点から改善の余地がある。   When a relay server connects to a WAN using a mobile phone line, a global IP address is assigned to the relay server, so access to the relay server is performed using the global IP address. Accessing with a global IP address means that anyone who has access to the IP address can access it, so there is room for improvement from the viewpoint of security.

本発明は以上の事情に鑑みてされたものであり、その目的は、無線通信端末を利用してWANに接続する中継サーバのセキュリティを向上させた構成を提供することにある。   The present invention has been made in view of the above circumstances, and an object thereof is to provide a configuration in which the security of a relay server connected to a WAN using a wireless communication terminal is improved.

課題を解決するための手段及び効果Means and effects for solving the problems

本発明の解決しようとする課題は以上の如くであり、次にこの課題を解決するための手段とその効果を説明する。   The problems to be solved by the present invention are as described above. Next, means for solving the problems and the effects thereof will be described.

本発明の観点によれば、以下の中継サーバが提供される。即ち、この中継サーバは、第1LAN内のクライアント端末と、第2LAN内のライアント端末と、の通信を、前記第2LANに接続された第2中継サーバとの間でWANを介して中継するために、前記第1LANに接続される。当該中継サーバは、第1通信部と、第2通信部と、アドレスフィルタ部と、フィルタ用アドレス記憶部と、フィルタ設定部と、を備える。前記第1通信部は、前記WANに接続する際に、自身のIPアドレスとして、前記第1LANのゲートウェイでアドレス変換されたアドレスを利用する。前記第2通信部は、前記WANに接続する際に、自身のIPアドレスとして、グローバルIPアドレスを利用する。前記アドレスフィルタ部は、設定されたIPアドレスに基づいてパケットのフィルタリングを行う。前記フィルタ用アドレス記憶部は、前記アドレスフィルタ部での前記フィルタリングのために設定する前記IPアドレスを記憶する。前記フィルタ設定部は、前記第2通信部によって前記WANに接続する際に、前記フィルタ用アドレス記憶部に記憶されているIPアドレスを前記アドレスフィルタ部に設定する。   According to an aspect of the present invention, the following relay server is provided. That is, the relay server relays communication between the client terminal in the first LAN and the client terminal in the second LAN via the WAN between the second relay server connected to the second LAN. , Connected to the first LAN. The relay server includes a first communication unit, a second communication unit, an address filter unit, a filter address storage unit, and a filter setting unit. When the first communication unit is connected to the WAN, the first communication unit uses an address converted by the gateway of the first LAN as its own IP address. The second communication unit uses a global IP address as its own IP address when connecting to the WAN. The address filter unit performs packet filtering based on a set IP address. The filter address storage unit stores the IP address set for the filtering in the address filter unit. The filter setting unit sets an IP address stored in the filter address storage unit in the address filter unit when connecting to the WAN by the second communication unit.

上記のように、グローバルIPアドレスを利用してWANに接続する際にパケットフィルタリングを行うように設定することで、セキュリティを高めることができる。   As described above, security can be enhanced by setting so as to perform packet filtering when connecting to a WAN using a global IP address.

前記中継サーバは、以下のように構成することが好ましい。即ち、前記第1通信部は、前記WANに接続する際には、前記第1LANの前記ゲートウェイを介して前記WANに接続する。前記第2通信部は、前記WANに接続する際には、移動体通信網に無線接続し、当該移動体通信網を介して前記WANに接続する。   The relay server is preferably configured as follows. That is, when connecting to the WAN, the first communication unit connects to the WAN via the gateway of the first LAN. When the second communication unit is connected to the WAN, the second communication unit wirelessly connects to the mobile communication network, and connects to the WAN via the mobile communication network.

即ち、LANのゲートウェイを介してWANに接続する場合は、アドレス変換されたIPアドレス(プライベートIPアドレス)を中継サーバに割り当てることができる。しかし、移動体通信網を介してWANに接続する場合はグローバルIPアドレスが中継サーバに割り当てられる。このため、移動体通信網を利用する際には、セキュリティ上の不安がある。そこで上記のように、移動体通信網を利用する場合(第2通信部によってWANに接続する際)にパケットフィルタリングを行うように設定することで、セキュリティを高めることができる。   That is, when connecting to a WAN via a LAN gateway, an IP address (private IP address) whose address has been converted can be assigned to the relay server. However, when connecting to a WAN via a mobile communication network, a global IP address is assigned to the relay server. For this reason, there is a security concern when using a mobile communication network. Therefore, as described above, security can be enhanced by setting to perform packet filtering when using the mobile communication network (when connecting to the WAN by the second communication unit).

上記の中継サーバは、以下のように構成することが好ましい。即ち、この中継サーバは、前記第2通信部がWANに接続可能な場合、当該第2通信部によって前記WANに接続するとともに、前記第1通信部による前記WANへの接続を禁止するWAN接続選択部を備える。   The relay server is preferably configured as follows. That is, when the second communication unit is connectable to the WAN, the relay server connects to the WAN by the second communication unit and prohibits connection to the WAN by the first communication unit. A part.

即ち、移動体通信網を介してWANへ接続する第2通信部がわざわざ有効化されているということは、当該第2通信部によってWANに接続することが意図されていると考えられる。そこで、第2通信部がWANに接続できる場合には、当該第2通信部による接続を、第1通信部よりも優先させる。   That is, the fact that the second communication unit connected to the WAN via the mobile communication network is bothered to be effective is considered to be intended to connect to the WAN by the second communication unit. Therefore, when the second communication unit can connect to the WAN, priority is given to the connection by the second communication unit over the first communication unit.

上記の中継サーバは、以下のように構成することが好ましい。即ち、前記フィルタ設定部は、前記第1通信部によってWANに接続する場合は、前記フィルタ用アドレス記憶部に記憶されているIPアドレスを前記アドレスフィルタ部に設定しない。   The relay server is preferably configured as follows. That is, when the filter setting unit is connected to the WAN by the first communication unit, the IP address stored in the filter address storage unit is not set in the address filter unit.

即ち、アドレス変換されたIPアドレス(プライベートIPアドレス)によってWANに接続するときは、中継サーバに対してWAN側から自由にアクセスすることはできないので、アドレスフィルタの条件を緩くすることができる。そこで、第1接続部でWANに接続するときは、IPアドレスをアドレスフィルタ部に設定しないことにより、不必要なアクセス制限によって利便性が損なわれてしまうことを防ぐ。   In other words, when connecting to the WAN by the IP address (private IP address) whose address has been converted, the relay server cannot be freely accessed from the WAN side, so the address filter conditions can be relaxed. Therefore, when the first connection unit is connected to the WAN, the IP address is not set in the address filter unit, thereby preventing the convenience from being lost due to unnecessary access restrictions.

上記の中継サーバは、以下のように構成することもできる。即ち、前記フィルタ設定部は、前記第1通信部によってWANに接続する際にも、前記フィルタ用アドレス記憶部に記憶されているIPアドレスを前記アドレスフィルタ部に設定する。   The relay server can also be configured as follows. That is, the filter setting unit sets the IP address stored in the filter address storage unit in the address filter unit even when connecting to the WAN by the first communication unit.

このように、アドレス変換されたIPアドレスによってWANに接続するときにも、グローバルIPアドレスでWANに接続するときと同様のフィルタリングを行っても良い。   In this way, when connecting to the WAN with the IP address whose address has been converted, filtering similar to that when connecting to the WAN with the global IP address may be performed.

本発明の一実施形態に係る中継サーバによって構築されたVPNの概略図。The schematic diagram of VPN constructed | assembled by the relay server which concerns on one Embodiment of this invention. 中継サーバのブロック図。The block diagram of a relay server. フィルタ用アドレス記憶部に記憶される許可アドレスの例。An example of a permission address stored in a filter address storage unit. 許可アドレスを登録する画面の例。An example of a screen for registering permitted addresses.

次に、図面を参照して本発明の実施の形態を説明する。図1は、本実施形態に係る中継サーバを用いて構築されたVPN(仮想プライベートネットワーク)10の概略的な構成を示している。このVPN10は、例えば、遠隔地に設置された第1LAN11と第2LAN12を、インターネット(WAN)14を介して接続するためのものである。   Next, embodiments of the present invention will be described with reference to the drawings. FIG. 1 shows a schematic configuration of a VPN (virtual private network) 10 constructed using a relay server according to the present embodiment. The VPN 10 is, for example, for connecting a first LAN 11 and a second LAN 12 installed at a remote place via the Internet (WAN) 14.

第1LAN11及び第2LAN12の構成は特に限定されないが、通常、各LANは1つ以上のクライアント端末を含んでいる。例えば図1の場合、第1LAN11にはクライアント端末17,18,19,20が、第2LANにはクライアント端末21,22が、それぞれ接続されている。また、各LANは、比較的小規模なLANを複数接続した構成であっても良い。例えば図1の場合、第1LAN11は、LAN23,24,25を、ルータ26,27によって接続した構成となっている。   The configurations of the first LAN 11 and the second LAN 12 are not particularly limited, but each LAN usually includes one or more client terminals. For example, in the case of FIG. 1, client terminals 17, 18, 19, and 20 are connected to the first LAN 11, and client terminals 21 and 22 are connected to the second LAN. Each LAN may have a configuration in which a plurality of relatively small LANs are connected. For example, in the case of FIG. 1, the first LAN 11 has a configuration in which LANs 23, 24, and 25 are connected by routers 26 and 27.

図1に示すように、第1LAN11内には第1中継サーバ15が、第2LAN12内には第2中継サーバ16が、それぞれ接続されている。第1中継サーバ15と第2中継サーバ16は、それぞれインターネット14に接続可能に構成されている。   As shown in FIG. 1, a first relay server 15 is connected to the first LAN 11, and a second relay server 16 is connected to the second LAN 12. The first relay server 15 and the second relay server 16 are each configured to be connectable to the Internet 14.

図1の第1LAN11は、インターネット14に対して有線では接続することが難しい環境に構築されたLANを想定したものである。このようなLANでもVPN10に接続できるようにするため、本実施形態の第1中継サーバ15は、携帯電話回線(移動体通信網)30に接続可能な無線通信端末29を備えている。具体的には、この無線通信端末29は、携帯電話のアクセスポイント31との間で無線通信が可能である。アクセスポイント31は、携帯電話回線30に接続されている。この携帯電話回線30には、プロバイダが提供するゲートウェイ33が配置されており、このゲートウェイ33においてプロトコル変換等が行われて、携帯電話回線30とインターネット14とが相互に通信可能となっている。   The first LAN 11 in FIG. 1 is assumed to be a LAN constructed in an environment where it is difficult to connect to the Internet 14 by wire. In order to be able to connect to the VPN 10 even in such a LAN, the first relay server 15 of this embodiment includes a wireless communication terminal 29 that can be connected to a mobile phone line (mobile communication network) 30. Specifically, the wireless communication terminal 29 can perform wireless communication with an access point 31 of a mobile phone. The access point 31 is connected to the mobile phone line 30. The mobile phone line 30 is provided with a gateway 33 provided by a provider. Protocol conversion or the like is performed in the gateway 33 so that the mobile phone line 30 and the Internet 14 can communicate with each other.

以上の構成で、第1中継サーバ15が、携帯電話回線30を介してインターネット14に無線で接続することが可能となっている。これにより、インターネット14に対して有線では接続することが難しい第1LAN11であっても、VPN10に参加することができる。なお、プロバイダのゲートウェイ33においては、第1中継サーバ15に対してグローバルIPv4アドレスが割り当てられる。従って、第1中継サーバ15は、自身に割り当てられたグローバルIPv4アドレスによってインターネット14に接続することになる。   With the above configuration, the first relay server 15 can wirelessly connect to the Internet 14 via the mobile phone line 30. Accordingly, even the first LAN 11 that is difficult to connect to the Internet 14 by wire can participate in the VPN 10. In the provider gateway 33, a global IPv4 address is assigned to the first relay server 15. Accordingly, the first relay server 15 is connected to the Internet 14 by the global IPv4 address assigned to itself.

図1の第2LAN12は、インターネット14に対して有線で接続できているLANを想定したものである。従って、第2LAN12に接続される第2中継サーバ16の場合は、第1中継サーバ15のような無線通信端末29は不要である。即ち、第2中継サーバ16は、第2LAN12のゲートウェイ28を介してインターネット14に接続することができる。   The second LAN 12 in FIG. 1 is assumed to be a LAN that can be connected to the Internet 14 by wire. Therefore, in the case of the second relay server 16 connected to the second LAN 12, the wireless communication terminal 29 like the first relay server 15 is unnecessary. That is, the second relay server 16 can be connected to the Internet 14 via the gateway 28 of the second LAN 12.

なお、第2LAN12のゲートウェイ28は、ネットワークアドレス変換(Network Address Translation,NAT)を行うことにより、第2LAN12内の機器にプライベートIPv4アドレスをマッピングするように構成されている。従って、本実施形態の第2中継サーバ16は、自身に割り当てられたプライベートIPアドレスによってインターネット14に接続することになる。   Note that the gateway 28 of the second LAN 12 is configured to map a private IPv4 address to a device in the second LAN 12 by performing network address translation (NAT). Therefore, the second relay server 16 of this embodiment is connected to the Internet 14 by the private IP address assigned to itself.

続いて、中継サーバ15,16の構成について説明する。なお、第1中継サーバ15と第2中継サーバ16は、無線通信端末29の有無を除いて同一のハードウェアからなっている。図2に示すように、中継サーバ15,16は、LANインタフェース(第1通信部)34と、USBインタフェース(第2通信部)35と、制御部36と、フィルタ用アドレス記憶部41と、を備えている。   Next, the configuration of the relay servers 15 and 16 will be described. The first relay server 15 and the second relay server 16 are composed of the same hardware except for the presence or absence of the wireless communication terminal 29. As illustrated in FIG. 2, the relay servers 15 and 16 include a LAN interface (first communication unit) 34, a USB interface (second communication unit) 35, a control unit 36, and a filter address storage unit 41. I have.

LANインタフェース34は、LANケーブルを接続可能であるとともに、当該LANケーブルを介してデータの送受信が可能に構成されている。第1中継サーバ15は、このLANインタフェース34によって第1LAN11に(より具体的にはLAN23に)接続されている。また、第2中継サーバ16は、LANインタフェース34よって、第2LAN12に接続されている。   The LAN interface 34 can be connected to a LAN cable and can transmit and receive data via the LAN cable. The first relay server 15 is connected to the first LAN 11 (more specifically, to the LAN 23) by the LAN interface 34. The second relay server 16 is connected to the second LAN 12 by a LAN interface 34.

前述のように、第2LAN12はゲートウェイ28を介してインターネット14に接続されているので、当該第2LAN12に接続されている第2中継サーバ16は、LANインタフェース34によってインターネット14に接続することができる。第2中継サーバ16には、プライベートIPアドレスが割り当てられ、当該プライベートIPアドレスを利用してインターネット14に接続することになる。   As described above, since the second LAN 12 is connected to the Internet 14 via the gateway 28, the second relay server 16 connected to the second LAN 12 can be connected to the Internet 14 via the LAN interface 34. The second relay server 16 is assigned a private IP address, and is connected to the Internet 14 using the private IP address.

なお、第1中継サーバ15もLANインタフェース34を備えているが、後述のWAN接続選択部39によって、当該LANインタフェース34によるインターネット14への接続が禁止されている。従って、本実施形態の場合、第1中継サーバ15は、LANインタフェース34によってインターネット14に接続することはない。   Although the first relay server 15 also includes the LAN interface 34, connection to the Internet 14 by the LAN interface 34 is prohibited by the WAN connection selection unit 39 described later. Therefore, in the present embodiment, the first relay server 15 is not connected to the Internet 14 via the LAN interface 34.

従って、中継サーバ15,16が備えるLANインタフェース34は、インターネット14に接続する際には、プライベートIPアドレスを利用してインターネット14に接続するものであると言うことができる。   Therefore, it can be said that the LAN interface 34 included in the relay servers 15 and 16 is connected to the Internet 14 using a private IP address when connecting to the Internet 14.

USBインタフェース35は、USB(Universal Serial Bus)規格の機器を接続可能であるとともに、当該機器との間でデータのやり取りを行うことができるように構成されている。本実施形態において、前記無線通信端末29は、いわゆるUSBデータ通信カードであり、USBインタフェース35に接続可能に構成されている。第1中継サーバ15のUSBインタフェース35には、この無線通信端末29が接続されている。これにより、第1中継サーバ15のUSBインタフェース35は、無線通信端末29を介してインターネット14に接続可能となっている。前述のように、第1中継サーバ16には、グローバルIPアドレスが割り当てられ、当該グローバルIPアドレスを利用してインターネットに接続することになる。   The USB interface 35 can be connected to a USB (Universal Serial Bus) standard device and can exchange data with the device. In the present embodiment, the wireless communication terminal 29 is a so-called USB data communication card, and is configured to be connectable to the USB interface 35. The wireless communication terminal 29 is connected to the USB interface 35 of the first relay server 15. As a result, the USB interface 35 of the first relay server 15 can be connected to the Internet 14 via the wireless communication terminal 29. As described above, the first relay server 16 is assigned a global IP address, and is connected to the Internet using the global IP address.

なお、第2中継サーバ16のUSBインタフェース35には、無線通信端末29が接続されていない。従って、第2中継サーバ16は、USBインタフェース35によってインターネット14に接続することはない。   Note that the wireless communication terminal 29 is not connected to the USB interface 35 of the second relay server 16. Therefore, the second relay server 16 is not connected to the Internet 14 via the USB interface 35.

従って、中継サーバ15,16が備えるUSBインタフェース35は、インターネット14に接続する際には、グローバルIPアドレスを利用してインターネット14に接続するものであると言うことができる。   Therefore, it can be said that the USB interface 35 included in the relay servers 15 and 16 is connected to the Internet 14 using the global IP address when connecting to the Internet 14.

制御部36は、図略のCPU、ROM、RAM等のハードウェアを備えたコンピュータとして構成されている。また、前記RAMには、サーバアプリケーション等のソフトウェアが記憶されている。制御部36において前記サーバアプリケーションを実行することにより、当該制御部36を、アドレスフィルタ部37、パケット転送部38、WAN接続選択部39、及びフィルタ設定部42等として機能させることができる。   The control unit 36 is configured as a computer including hardware such as a CPU, a ROM, and a RAM (not shown). The RAM stores software such as a server application. By executing the server application in the control unit 36, the control unit 36 can function as an address filter unit 37, a packet transfer unit 38, a WAN connection selection unit 39, a filter setting unit 42, and the like.

パケット転送部38は、LANインタフェース34又はUSBインタフェース35で受信されたパケットを、適切な転送先に転送するように機能する。   The packet transfer unit 38 functions to transfer a packet received by the LAN interface 34 or the USB interface 35 to an appropriate transfer destination.

ただし、インターネット14から受信したパケットを無制限に転送するようでは、セキュリティの面で好ましくない場合がある。そこで、アドレスフィルタ部37は、必要に応じて、パケット転送部38が転送するパケットのアドレスフィルタリングを行うように構成されている。   However, it may not be preferable in terms of security if packets received from the Internet 14 are transferred indefinitely. Therefore, the address filter unit 37 is configured to perform address filtering of packets transferred by the packet transfer unit 38 as necessary.

アドレスフィルタ部37には、インターネット14から受信したパケットの転送を許可するIPアドレスを設定可能である。このようにアドレスフィルタ部37に設定されるIPアドレスを、「許可アドレス」と呼ぶ。アドレスフィルタ部37は、インターネット14から受信したパケットの送信先が許可アドレスとして設定されたIPアドレスの何れかに一致している場合は、当該パケットを前記送信先へと転送することを許可する。一方、アドレスフィルタ部37は、インターネット14から受信したパケットの送信先が許可アドレスとして設定されたIPアドレスの何れにも一致しない場合は、当該パケットを遮断する。なお、許可アドレスが1つも設定されていない場合は、アドレスフィルタ部37によるフィルタリングは行われない。   The address filter unit 37 can be set with an IP address that permits transfer of a packet received from the Internet 14. The IP address set in the address filter unit 37 in this way is called “permitted address”. If the transmission destination of the packet received from the Internet 14 matches any IP address set as the permitted address, the address filter unit 37 permits the packet to be transferred to the transmission destination. On the other hand, when the destination of the packet received from the Internet 14 does not match any of the IP addresses set as the permitted address, the address filter unit 37 blocks the packet. If no permitted address is set, filtering by the address filter unit 37 is not performed.

アドレスフィルタ部37に設定すべき許可アドレスは、フィルタ用アドレス記憶部41に記憶されている。第1中継サーバ15のフィルタ用アドレス記憶部41に記憶されている許可アドレスの例を、図3に示す。図3の例では、クライアント端末17のIPアドレス(192.168.1.1)が一行目に、クライアント端末19,20が接続されているLAN25のアドレス(192.168.2.0/24)が二行目に記述されている。このように、許可アドレスは複数設定することができる。また、図3の二行目に示すように、ネットワーク全体(図3の場合はLAN25全体)を示す許可アドレスを設定することもできる。   The permitted address to be set in the address filter unit 37 is stored in the filter address storage unit 41. An example of the permitted address stored in the filter address storage unit 41 of the first relay server 15 is shown in FIG. In the example of FIG. 3, the IP address (192.168.1.1) of the client terminal 17 is on the first line, and the address of the LAN 25 to which the client terminals 19 and 20 are connected (192.168.2.0/24). Is described on the second line. In this way, a plurality of permitted addresses can be set. In addition, as shown in the second line of FIG. 3, it is possible to set a permitted address indicating the entire network (in the case of FIG. 3, the entire LAN 25).

フィルタ用アドレス記憶部41に対する許可アドレスの登録は、ユーザが適宜の操作を行うことにより行うことができる。例えば、ユーザは、何れかのクライアント端末から第1中継サーバ15にアクセスし、適宜操作することで、図4に示すような許可アドレス登録画面を表示させる。この許可アドレス登録画面では、ユーザが適宜操作を行うことにより、フィルタ用アドレス記憶部41に記憶させる許可アドレスを追加することができる。また、フィルタ用アドレス記憶部41に記憶されている許可アドレスを削除することもできる。   Registration of the permission address to the filter address storage unit 41 can be performed by the user performing an appropriate operation. For example, the user accesses the first relay server 15 from any of the client terminals and appropriately operates to display the permitted address registration screen as shown in FIG. In this permission address registration screen, a permission address to be stored in the filter address storage unit 41 can be added by appropriate operation by the user. Also, the permitted address stored in the filter address storage unit 41 can be deleted.

フィルタ設定部42は、フィルタ用アドレス記憶部41に記憶されている許可アドレスを、アドレスフィルタ部37に設定するように構成されている。これにより、ユーザが図4の画面で登録した許可アドレスに基づいて、アドレスフィルタ部37によるパケットのフィルタリングを行うことができる。逆に言うと、ユーザが図4の画面によって許可アドレスをフィルタ用アドレス記憶部41に登録したとしても、フィルタ設定部42によってアドレスフィルタ部37に許可アドレスが設定されない限りは、アドレスフィルタ部37によるアドレスフィルタは行われない。   The filter setting unit 42 is configured to set the permitted address stored in the filter address storage unit 41 in the address filter unit 37. Thereby, based on the permitted address registered by the user on the screen of FIG. 4, packet filtering by the address filter unit 37 can be performed. Conversely, even if the user registers the permitted address in the filter address storage unit 41 on the screen of FIG. 4, the address filter unit 37 does not set the permitted address in the address filter unit 37 by the filter setting unit 42. Address filtering is not performed.

より具体的には、フィルタ設定部42は、中継サーバがUSBインタフェース35によってインターネット14に接続している場合に、フィルタ用アドレス記憶部41に記憶されている許可アドレスをアドレスフィルタ部37に設定するように構成されている。即ち、中継サーバがUSBインタフェース35を利用してインターネット14に接続している場合、当該中継サーバはグローバルIPアドレスによってインターネット14に接続することになるので、インターネット14から不正なアクセスを受ける危険性がある。そこで、上記のように中継サーバがUSBインタフェース35を利用してインターネット14に接続している場合、アドレスフィルタ部37に許可アドレスを設定する。これにより、ユーザが図4の画面で登録した許可アドレスに基づいて、アドレスフィルタ部37によるパケットのアドレスフィルタを行うことができる。従って、インターネット14からの無用な接続を遮断することができるので、セキュリティを高めることができる。   More specifically, the filter setting unit 42 sets the permitted address stored in the filter address storage unit 41 in the address filter unit 37 when the relay server is connected to the Internet 14 via the USB interface 35. It is configured as follows. That is, when the relay server is connected to the Internet 14 using the USB interface 35, the relay server is connected to the Internet 14 by the global IP address, so there is a risk of receiving unauthorized access from the Internet 14. is there. Therefore, when the relay server is connected to the Internet 14 using the USB interface 35 as described above, a permitted address is set in the address filter unit 37. Thereby, the address filter of the packet by the address filter unit 37 can be performed based on the permitted address registered by the user on the screen of FIG. Accordingly, unnecessary connection from the Internet 14 can be blocked, and security can be improved.

また、フィルタ設定部42は、中継サーバがLANインタフェース34によってインターネット14に接続している場合は、アドレスフィルタ部37に対して許可アドレスを設定しないように構成されている。即ち、中継サーバがLANインタフェース34を利用してインターネット14に接続している場合、当該中継サーバはゲートウェイ28によって割り当てられたプライベートIPアドレスによってインターネット14に接続することになるので、インターネット14から不正な接続を受ける危険性は低い。そこで、上記のように、中継サーバがLANインタフェース34によってインターネット14に接続している場合は、アドレスフィルタ部37に対して許可アドレスを設定しないことにより、アドレスフィルタ部37によるパケットのアドレスフィルタを行わない。これにより、無用なフィルタリングが行われてしまうことを防止できる。   The filter setting unit 42 is configured not to set a permitted address for the address filter unit 37 when the relay server is connected to the Internet 14 via the LAN interface 34. That is, when the relay server is connected to the Internet 14 using the LAN interface 34, the relay server is connected to the Internet 14 by the private IP address assigned by the gateway 28. The risk of receiving a connection is low. Therefore, as described above, when the relay server is connected to the Internet 14 via the LAN interface 34, the address filter unit 37 performs address filtering of the packet by not setting the permitted address to the address filter unit 37. Absent. Thereby, it is possible to prevent unnecessary filtering from being performed.

フィルタ設定部42を上記のように構成することで、グローバルIPアドレスでインターネット14に接続している場合と、プライベートIPアドレスでインターネット14に接続している場合とでアドレスフィルタ部37の動作を自動的に変更することができる。これにより、中継サーバ15,16のインターネット14への接続状況に応じて、適切にセキュリティを確保することができる。   By configuring the filter setting unit 42 as described above, the operation of the address filter unit 37 is automatically performed when connected to the Internet 14 with a global IP address and when connected to the Internet 14 with a private IP address. Can be changed. Thereby, security can be appropriately ensured according to the connection status of the relay servers 15 and 16 to the Internet 14.

WAN接続選択部39は、LANインタフェース34とUSBインタフェース35の何れを利用してインターネット14に接続するかを選択するように機能する。即ち、本実施形態の中継サーバは、USBインタフェース35に無線通信端末29を接続した場合、当該USBインタフェース35とLANインタフェース34の両方でインターネット14に接続可能な状態となる。このような場合は、何れのインタフェースを用いてインターネット14に接続するかを選択しなければ、中継サーバをインターネット14に適切に接続させることができない。   The WAN connection selection unit 39 functions to select which of the LAN interface 34 and the USB interface 35 is used to connect to the Internet 14. That is, when the wireless communication terminal 29 is connected to the USB interface 35, the relay server of this embodiment is in a state where it can be connected to the Internet 14 via both the USB interface 35 and the LAN interface 34. In such a case, the relay server cannot be properly connected to the Internet 14 unless it is selected which interface is used to connect to the Internet 14.

ところで、本実施形態において、無線通信端末29はUSB機器として構成されているので、不必要な場合はUSBインタフェース35から無線通信端末29を取り外しておくことができる。もし仮に、中継サーバ15,16を設置する際に、VPN10の管理者が、当該中継サーバをLANインタフェース34によってインターネット14に接続することを意図していたとすれば、無線通信端末29をUSBインタフェース35にわざわざ接続するとは考えにくい。つまり、無線通信端末29がUSBインタフェース35に接続されている場合は、当該USBインタフェース35によってインターネット14に接続することが意図されているものと考えられる。   By the way, in this embodiment, since the wireless communication terminal 29 is configured as a USB device, the wireless communication terminal 29 can be detached from the USB interface 35 if unnecessary. If the administrator of the VPN 10 intends to connect the relay server to the Internet 14 via the LAN interface 34 when installing the relay servers 15 and 16, the wireless communication terminal 29 is connected to the USB interface 35. It's hard to imagine connecting. That is, when the wireless communication terminal 29 is connected to the USB interface 35, it is considered that the connection to the Internet 14 is intended by the USB interface 35.

そこで、WAN接続選択部39は、USBインタフェース35によってインターネット14に接続可能な場合(無線通信端末29がUSBインタフェース35に接続されている場合、つまりUSBインタフェース35が有効化されている場合)には、LANインタフェース34によってインターネット14に接続することを禁止するとともに、前記USBインタフェース35を利用してインターネット14に接続するように設定する。このように、無線通信端末29を利用可能な場合には、USBインタフェース35を優先的に利用してインターネット14に接続することで、中継サーバ15,16を適切にインターネット14に接続することができる。一方、USBインタフェース35によってインターネットに接続できない場合(USBインタフェース35に無線通信端末29が接続されていない場合、つまりUSBインタフェース35が無効化されている場合)は、WAN接続選択部39は、LANインタフェース34を利用して、中継サーバをインターネット14に接続するように設定する。   Therefore, the WAN connection selection unit 39 can connect to the Internet 14 via the USB interface 35 (when the wireless communication terminal 29 is connected to the USB interface 35, that is, when the USB interface 35 is activated). The connection to the Internet 14 by the LAN interface 34 is prohibited, and the USB interface 35 is used to connect to the Internet 14. Thus, when the wireless communication terminal 29 can be used, the relay servers 15 and 16 can be appropriately connected to the Internet 14 by using the USB interface 35 preferentially and connecting to the Internet 14. . On the other hand, when the USB interface 35 cannot connect to the Internet (when the wireless communication terminal 29 is not connected to the USB interface 35, that is, when the USB interface 35 is disabled), the WAN connection selection unit 39 uses the LAN interface. 34, the relay server is set to be connected to the Internet 14.

続いて、本実施形態のVPN10の動作について、簡単に説明する。なお、以下では、第1LAN11内のクライアント端末17が、第2LAN12内のクライアント端末21に対してパケットを送信する場合を例として説明する。   Next, the operation of the VPN 10 of this embodiment will be briefly described. In the following, a case where the client terminal 17 in the first LAN 11 transmits a packet to the client terminal 21 in the second LAN 12 will be described as an example.

クライアント端末17とクライアント端末21は互いに異なるLANに属しているので、パケットのやり取りを直接的に行うことはできない。このような場合に、本実施形態の中継サーバ15,16を利用して、第1LAN11と第2LAN12の間をVPN10で結ぶことにより、クライアント端末17とクライアント端末21の間でパケットのやり取りが可能となる。   Since the client terminal 17 and the client terminal 21 belong to different LANs, packet exchange cannot be performed directly. In such a case, packets can be exchanged between the client terminal 17 and the client terminal 21 by connecting the first LAN 11 and the second LAN 12 with the VPN 10 using the relay servers 15 and 16 of the present embodiment. Become.

まず、何れかのクライアント端末のユーザ、又はVPN10の管理者によって、第1中継サーバ15と第2中継サーバ16の間に、インターネット14を介した通信セッションを確立する操作が行われる。   First, an operation for establishing a communication session via the Internet 14 is performed between the first relay server 15 and the second relay server 16 by a user of any client terminal or an administrator of the VPN 10.

次に、クライアント端末17において、当該クライアント端末17からクライアント端末21に向けてVPN10を介してパケットを送信する操作が行われる。このパケットは、まず第1中継サーバ15に送信される。   Next, the client terminal 17 performs an operation of transmitting a packet from the client terminal 17 toward the client terminal 21 via the VPN 10. This packet is first transmitted to the first relay server 15.

パケットを受信した第1中継サーバ15のパケット転送部38は、既に確立されている通信セッションによって、前記パケットを第2中継サーバ16に転送する。   The packet transfer unit 38 of the first relay server 15 that has received the packet transfers the packet to the second relay server 16 through the already established communication session.

第2中継サーバ16がインターネット14から前記パケットを受信した場合、当該第2中継サーバ16のアドレスフィルタ部37は、前記パケットに対してアドレスフィルタリングを行う。ただし、本実施形態において、第2中継サーバ16はLANインタフェース34によってインターネット14に接続されている。従って、この第2中継サーバ16のフィルタ設定部42は、アドレスフィルタ部37に許可アドレスを設定していない。このように、アドレスフィルタ部37に許可アドレスが設定されていない場合、当該アドレスフィルタ部37は、インターネット14から受信されたパケットのフィルタリングは行わずに、全てのパケットを通過させる。   When the second relay server 16 receives the packet from the Internet 14, the address filter unit 37 of the second relay server 16 performs address filtering on the packet. However, in the present embodiment, the second relay server 16 is connected to the Internet 14 via the LAN interface 34. Therefore, the filter setting unit 42 of the second relay server 16 does not set the permitted address in the address filter unit 37. As described above, when the permitted address is not set in the address filter unit 37, the address filter unit 37 allows all packets to pass without filtering the packets received from the Internet 14.

パケット転送部38は、アドレスフィルタ部37を通過したパケットを、当該パケットの送信先として指定されているクライアント端末21に転送する。   The packet transfer unit 38 transfers the packet that has passed through the address filter unit 37 to the client terminal 21 designated as the transmission destination of the packet.

以上のように、第1中継サーバ15と第2中継サーバ16の間にインターネットを介した通信セッションを確立させておき、当該通信セッションを介してパケットを転送することにより、異なるLAN11,12に属しているクライアント端末17,21の間でパケットのやり取りを行うことができる。   As described above, a communication session via the Internet is established between the first relay server 15 and the second relay server 16, and packets are transferred via the communication session, so that they belong to different LANs 11 and 12. Packets can be exchanged between the client terminals 17 and 21.

次に、第2LAN12内のクライアント端末21から、第1LAN11内のクライアント端末17に対してパケットを送信する場合を例として説明する。   Next, a case where a packet is transmitted from the client terminal 21 in the second LAN 12 to the client terminal 17 in the first LAN 11 will be described as an example.

この場合、クライアント端末21において、当該クライアント端末21からクライアント端末17に向けてVPN10を介してパケットを送信する操作が行われる。このパケットは、まず第2中継サーバ16に送信される。   In this case, the client terminal 21 performs an operation of transmitting a packet from the client terminal 21 toward the client terminal 17 via the VPN 10. This packet is first transmitted to the second relay server 16.

パケットを受信した第2中継サーバ16のパケット転送部38は、前記通信セッションによって、前記パケットを第1中継サーバ15に転送する。   The packet transfer unit 38 of the second relay server 16 that has received the packet transfers the packet to the first relay server 15 through the communication session.

インターネット14から前記パケットを受信した第1中継サーバ15のアドレスフィルタ部37は、当該パケットのアドレスフィルタリングを行う。第1中継サーバ15はUSBインタフェース35によってインターネット14に接続しているので、フィルタ設定部42によって、アドレスフィルタ部37に許可アドレスが設定されている。このように、アドレスフィルタ部37に許可アドレスが設定されている場合、当該アドレスフィルタ部37は、インターネット14から受信されたパケットの送信先が、設定された許可アドレスの何れかに一致している場合にのみ、当該パケットを通過させる。例えば図4に示した許可アドレスには、クライアント端末17のIPアドレス(192.168.1.1)が含まれている。従って、図4に示すような許可アドレスが第1中継サーバ15のアドレスフィルタ部37に設定されている場合において、当該第1中継サーバ15がクライアント端末17宛てのパケットをインターネット14から受信した場合、アドレスフィルタ部37は、当該パケットを通過させる。   The address filter unit 37 of the first relay server 15 that has received the packet from the Internet 14 performs address filtering of the packet. Since the first relay server 15 is connected to the Internet 14 via the USB interface 35, the permitted address is set in the address filter unit 37 by the filter setting unit 42. As described above, when the permitted address is set in the address filter unit 37, the address filter unit 37 matches the destination of the packet received from the Internet 14 with any of the set permitted addresses. Only when the packet is passed. For example, the permitted address shown in FIG. 4 includes the IP address (192.168.1.1) of the client terminal 17. Therefore, when the permitted address as shown in FIG. 4 is set in the address filter unit 37 of the first relay server 15, when the first relay server 15 receives a packet addressed to the client terminal 17 from the Internet 14, The address filter unit 37 passes the packet.

パケットがアドレスフィルタ部37を通過した場合、パケット転送部38は、当該パケットを、送信先として指定されているクライアント端末17に転送する。   When the packet passes through the address filter unit 37, the packet transfer unit 38 transfers the packet to the client terminal 17 designated as the transmission destination.

以上のように、グローバルIPアドレスを用いてインターネット14に接続している第1中継サーバ15においては、インターネット14から受信したパケットを転送する際に、パケットフィルタリングを行う。これにより、インターネット14からの不正な接続を防止し、セキュリティを高めることができる。   As described above, the first relay server 15 connected to the Internet 14 using the global IP address performs packet filtering when transferring a packet received from the Internet 14. Thereby, unauthorized connection from the Internet 14 can be prevented and security can be enhanced.

以上で説明したように、本実施形態の中継サーバ15,16は、LANインタフェース34と、USBインタフェース35と、アドレスフィルタ部37と、フィルタ用アドレス記憶部41と、フィルタ設定部42と、を備えている。LANインタフェース34は、インターネット14に接続する際には、自身のIPアドレスとして、ゲートウェイ28でアドレス変換されたプライベートIPアドレスを利用する。USBインタフェース35は、インターネット14に接続する際には、自身のIPアドレスとして、グローバルIPアドレスを利用する。アドレスフィルタ部37は、設定された許可アドレスに基づいてパケットのフィルタリングを行う。フィルタ用アドレス記憶部41は、アドレスフィルタ部37での前記フィルタリングのために設定する許可アドレスを記憶する。フィルタ設定部42は、USBインタフェース35によってインターネットに接続する際に、フィルタ用アドレス記憶部41に記憶されている許可アドレスをアドレスフィルタ部37に設定する。   As described above, the relay servers 15 and 16 of the present embodiment include the LAN interface 34, the USB interface 35, the address filter unit 37, the filter address storage unit 41, and the filter setting unit 42. ing. When connecting to the Internet 14, the LAN interface 34 uses a private IP address that has been address-converted by the gateway 28 as its own IP address. The USB interface 35 uses a global IP address as its own IP address when connecting to the Internet 14. The address filter unit 37 performs packet filtering based on the set permitted address. The filter address storage unit 41 stores a permitted address set for the filtering in the address filter unit 37. The filter setting unit 42 sets the permitted address stored in the filter address storage unit 41 in the address filter unit 37 when connecting to the Internet via the USB interface 35.

上記のように、グローバルIPアドレスを利用してインターネット14に接続する際にパケットフィルタリングを行うように設定することで、セキュリティを高めることができる。   As described above, security can be enhanced by setting to perform packet filtering when connecting to the Internet 14 using a global IP address.

また、本実施形態の中継サーバ15,16は、以下のように構成されている。即ち、LANインタフェース34は、インターネット14に接続する際には、LANのゲートウェイを介してインターネット14に接続する。USBインタフェース35は、インターネット14に接続する際には、携帯電話回線30に無線接続し、当該携帯電話回線30を介してインターネット14に接続する。   Moreover, the relay servers 15 and 16 of this embodiment are configured as follows. That is, the LAN interface 34 is connected to the Internet 14 via a LAN gateway when connecting to the Internet 14. When connecting to the Internet 14, the USB interface 35 is wirelessly connected to the mobile phone line 30 and connected to the Internet 14 via the mobile phone line 30.

即ち、LANのゲートウェイを介してWANに接続する場合は、アドレス変換されたIPアドレス(プライベートIPアドレス)を中継サーバに割り当てることができる。しかし、携帯電話回線30を介してWANに接続する場合はグローバルIPアドレスが中継サーバに割り当てられる。このため、携帯電話回線30を利用する際には、セキュリティ上の不安がある。そこで上記のように、USBインタフェース35によってWANに接続する際にパケットフィルタリングを行うように設定することで、セキュリティを高めることができる。   That is, when connecting to a WAN via a LAN gateway, an IP address (private IP address) whose address has been converted can be assigned to the relay server. However, when connecting to the WAN via the mobile phone line 30, a global IP address is assigned to the relay server. For this reason, there is a security concern when using the mobile phone line 30. Therefore, as described above, security can be enhanced by setting to perform packet filtering when connecting to the WAN via the USB interface 35.

また、本実施形態の中継サーバ15,16は、USBインタフェース35がインターネット14に接続可能な場合、当該USBインタフェース35によってインターネット14に接続するとともに、LANインタフェース34によるインターネット14への接続を禁止するWAN接続選択部39を備えている。   In addition, when the USB interface 35 can be connected to the Internet 14, the relay servers 15 and 16 of the present embodiment connect to the Internet 14 through the USB interface 35 and prohibit the connection to the Internet 14 through the LAN interface 34. A connection selection unit 39 is provided.

即ち、USBインタフェース35に無線通信端末29がわざわざ接続されているということは、当該USBインタフェース35によってインターネット14に接続することが意図されていると考えられる。そこで、USBインタフェース35がインターネット14に接続できる(無線通信端末29が接続されている)場合には、当該USBインタフェース35による接続を、LANインタフェース34よりも優先させる。   That is, the fact that the wireless communication terminal 29 is purposely connected to the USB interface 35 is considered to be intended to connect to the Internet 14 via the USB interface 35. Therefore, when the USB interface 35 can be connected to the Internet 14 (the wireless communication terminal 29 is connected), the connection by the USB interface 35 is given priority over the LAN interface 34.

また、本実施形態の中継サーバ15,16において、フィルタ設定部42は、LANインタフェース34によってインターネット14に接続する場合は、フィルタ用アドレス記憶部41に記憶されている許可アドレスをアドレスフィルタ部37に設定しない。   Further, in the relay servers 15 and 16 of the present embodiment, the filter setting unit 42 connects the permitted address stored in the filter address storage unit 41 to the address filter unit 37 when connecting to the Internet 14 via the LAN interface 34. Not set.

即ち、アドレス変換されたIPアドレス(プライベートIPアドレス)によってインターネット14に接続するときは、中継サーバに対してWAN側から自由にアクセスすることはできないので、アドレスフィルタの条件を緩くすることができる。そこで、LANインタフェース34でインターネット14に接続するときは、許可アドレスをアドレスフィルタ部37に設定しないことにより、不必要なアクセス制限によって利便性が損なわれてしまうことを防ぐ。   That is, when connecting to the Internet 14 by the IP address (private IP address) whose address has been converted, the relay server cannot be freely accessed from the WAN side, so the address filter conditions can be relaxed. Therefore, when connecting to the Internet 14 via the LAN interface 34, the permission address is not set in the address filter unit 37, thereby preventing the convenience from being lost due to unnecessary access restrictions.

以上に本発明の好適な実施の形態を説明したが、上記の構成は例えば以下のように変更することができる。   The preferred embodiment of the present invention has been described above, but the above configuration can be modified as follows, for example.

上記実施形態の第1LAN11は、有線でLANに接続することが難しい環境に敷設されているとした。しかし、環境が変化して、第1LAN11が有線でインターネット14に接続可能になった場合(例えば、第1LAN11の設置地域まで光ケーブルが敷設された場合など)は、第1中継サーバ15のUSBインタフェース35から無線通信端末29を取り外せば良い。これにより、USBインタフェース35によってインターネット14に接続することができなくなるので、WAN接続選択部39は、LANインタフェース34によってインターネット14に接続するように設定を変更する。フィルタ設定部42は、LANインタフェース34によってインターネット14に接続するように設定されたことを検出すると、アドレスフィルタ部37に許可アドレスを設定しなくなる。つまり、無線通信端末29を取り外すことにより、アドレスフィルタ部37におけるアドレスフィルタを行わないようにすることができる。このように、無線通信端末29が不要になった場合には、当該無線通信端末29を取り外すだけで、インターネット14に接続するためのインタフェースの選択、及びパケットフィルタリングの設定などが自動的に変更される。従って、設定変更の手間を省くことができる。   The first LAN 11 of the above embodiment is laid in an environment where it is difficult to connect to the LAN by wire. However, when the environment changes and the first LAN 11 can be connected to the Internet 14 by wire (for example, when an optical cable is laid to the area where the first LAN 11 is installed), the USB interface 35 of the first relay server 15 is used. The wireless communication terminal 29 may be removed from the terminal. As a result, since it becomes impossible to connect to the Internet 14 via the USB interface 35, the WAN connection selection unit 39 changes the setting to connect to the Internet 14 via the LAN interface 34. When the filter setting unit 42 detects that the LAN interface 34 is set to connect to the Internet 14, the filter setting unit 42 does not set the permitted address in the address filter unit 37. That is, by removing the wireless communication terminal 29, the address filter in the address filter unit 37 can be prevented from being performed. As described above, when the wireless communication terminal 29 is no longer necessary, the interface selection for connecting to the Internet 14 and the packet filtering setting are automatically changed by simply removing the wireless communication terminal 29. The Therefore, it is possible to save the trouble of changing the setting.

アドレスフィルタ部37におけるフィルタリングの態様、フィルタ設定部42がアドレスフィルタ部37にIPアドレスを設定する態様等は、上記実施形態の構成に限定されない。要は、中継サーバがグローバルIPアドレスを利用してWANに接続する場合と、アドレス変換されたIPアドレス(プライベートIPアドレス)を利用してWANに接続する場合と、でアドレスフィルタリングの設定を変更することができれば良い。これにより、プライベートIPアドレスとグローバルIPアドレスの何れを利用しているかに応じて、適切なフィルタリングを実現し、良好なセキュリティを実現することができる。   The mode of filtering in the address filter unit 37, the mode in which the filter setting unit 42 sets an IP address in the address filter unit 37, and the like are not limited to the configuration of the above embodiment. In short, change the address filtering settings when the relay server connects to the WAN using the global IP address and when connecting to the WAN using the IP address (private IP address) whose address has been converted. I hope I can. As a result, appropriate filtering can be realized and good security can be realized depending on whether a private IP address or a global IP address is used.

上記実施形態では、無線通信端末29はUSB機器であり、中継サーバから取り外し可能であるとした。しかしこれに限らず、無線通信端末が中継サーバに内蔵されていて、取り外し不可能に構成されていても良い。なおこの場合、無線通信端末による通信を無効化する手段(例えばスイッチなど)を設けておけば好適である。   In the above embodiment, the wireless communication terminal 29 is a USB device and can be removed from the relay server. However, the present invention is not limited to this, and the wireless communication terminal may be built in the relay server and cannot be removed. In this case, it is preferable to provide means (for example, a switch) for invalidating communication by the wireless communication terminal.

無線通信端末29を中継サーバから取り外し可能とする場合、当該無線通信端末29を中継サーバの第2通信部に接続するインタフェースはUSB規格に限定されず、例えばPCカード等の他の規格であっても良い。つまり、第2通信部はUSBインタフェースに限らず、その他のインタフェースであっても良い。更には、第2通信部は必ずしも無線でWANに接続するものでなくても良い。また、第1通信部は必ずしも有線でWANに接続するものでなくても良い。第2通信部がグローバルIPアドレスを利用してWANに接続し、第1通信部がアドレス変換されたIPアドレスを利用してWANに接続する構成の中継サーバであれば、第1通信部及び第2通信部の詳細にかかわらず本願発明を適用できる。   When the wireless communication terminal 29 is detachable from the relay server, the interface for connecting the wireless communication terminal 29 to the second communication unit of the relay server is not limited to the USB standard, but may be another standard such as a PC card. Also good. That is, the second communication unit is not limited to the USB interface, and may be another interface. Furthermore, the second communication unit does not necessarily have to be connected to the WAN wirelessly. The first communication unit does not necessarily have to be connected to the WAN by wire. If the second communication unit is connected to the WAN using the global IP address and the first communication unit is connected to the WAN using the IP address whose address is converted, the first communication unit and the first communication unit 2 The present invention can be applied regardless of the details of the communication unit.

上記実施形態では、IPv4のIPアドレスを利用するとしたが、例えばIPv6のIPアドレスを利用しても良い。   In the above embodiment, an IPv4 IP address is used. However, for example, an IPv6 IP address may be used.

上記の中継サーバ15,16は、以下のように構成することもできる。即ち、フィルタ設定部42は、LANインタフェース34によってインターネット14に接続する際にも、フィルタ用アドレス記憶部41に記憶されている許可アドレスをアドレスフィルタ部37に設定する。このように、プライベートIPアドレスでインターネット14に接続するときも、グローバルIPアドレスでインターネット14に接続するときと同様のフィルタリングを行っても良い。   The relay servers 15 and 16 can be configured as follows. That is, the filter setting unit 42 sets the permitted address stored in the filter address storage unit 41 in the address filter unit 37 even when connecting to the Internet 14 through the LAN interface 34. Thus, when connecting to the Internet 14 with a private IP address, the same filtering as when connecting to the Internet 14 with a global IP address may be performed.

11 第1LAN
12 第2LAN
14 インターネット(WAN)
15 第1中継サーバ
16 第2中継サーバ
29 無線通信端末
34 LANインタフェース(第1通信部)
35 USBインタフェース(第2通信部)
37 アドレスフィルタ部
41 フィルタ用アドレス記憶部
42 フィルタ設定部 11 First LAN
12 Second LAN
14 Internet (WAN)
15 1st relay server 16 2nd relay server 29 Wireless communication terminal 34 LAN interface (1st communication part)
35 USB interface (second communication unit)
37 Address filter section 41 Filter address storage section 42 Filter setting section

Claims (5)

第1LAN内のクライアント端末と、第2LAN内のクライアント端末と、の通信を、前記第2LANに接続された第2中継サーバとの間でWANを介して中継するために前記第1LANに接続された中継サーバであって、
WANに接続する際に、自身のIPアドレスとして、前記第1LANのゲートウェイでアドレス変換されたIPアドレスを利用する第1通信部と、
WANに接続する際に、自身のIPアドレスとして、グローバルIPアドレスを利用する第2通信部と、
設定されたIPアドレスに基づいてパケットのフィルタリングを行うアドレスフィルタ部と、
前記アドレスフィルタ部での前記フィルタリングのために設定する前記IPアドレスを記憶するフィルタ用アドレス記憶部と、
前記第2通信部によって前記WANに接続する際に、前記フィルタ用アドレス記憶部に記憶されているIPアドレスを前記アドレスフィルタ部に設定するフィルタ設定部と、
を備えることを特徴とする中継サーバ。 Connected to the first LAN to relay communication between the client terminal in the first LAN and the client terminal in the second LAN via the WAN to the second relay server connected to the second LAN. A relay server,
A first communication unit that uses an IP address converted by the gateway of the first LAN as its own IP address when connecting to the WAN;
A second communication unit that uses a global IP address as its own IP address when connecting to the WAN;
An address filter unit that filters packets based on the set IP address;
A filter address storage unit for storing the IP address set for the filtering in the address filter unit;
A filter setting unit that sets an IP address stored in the filter address storage unit in the address filter unit when connecting to the WAN by the second communication unit;
A relay server comprising: 請求項1に記載の中継サーバであって、
前記第1通信部は、前記WANに接続する際に、前記第1LANの前記ゲートウェイを介して前記WANに接続し、
前記第2通信部は、前記WANに接続する際に、移動体通信網に無線接続し、当該移動体通信網を介して前記WANに接続することを特徴とする中継サーバ。 The relay server according to claim 1,
The first communication unit connects to the WAN via the gateway of the first LAN when connecting to the WAN,
The second communication unit, when connecting to the WAN, wirelessly connects to a mobile communication network and connects to the WAN via the mobile communication network. 請求項2に記載の中継サーバであって、
前記第2通信部がWANに接続可能な場合、当該第2通信部によって前記WANに接続するとともに、前記第1通信部による前記WANへの接続を禁止するWAN接続選択部を備えることを特徴とする中継サーバ。 The relay server according to claim 2,
When the second communication unit is connectable to a WAN, the second communication unit includes a WAN connection selection unit that connects to the WAN by the second communication unit and prohibits connection to the WAN by the first communication unit. Relay server to be used. 請求項1から3までの何れか一項に記載の中継サーバであって、
前記フィルタ設定部は、前記第1通信部によってWANに接続する場合は、前記フィルタ用アドレス記憶部に記憶されているIPアドレスを前記アドレスフィルタ部に設定しないことを特徴とする中継サーバ。 A relay server according to any one of claims 1 to 3,
When the filter setting unit is connected to the WAN by the first communication unit, the relay server is characterized in that the IP address stored in the filter address storage unit is not set in the address filter unit. 請求項1から3までの何れか一項に記載の中継サーバであって、
前記フィルタ設定部は、前記第1通信部によってWANに接続する際にも、前記フィルタ用アドレス記憶部に記憶されているIPアドレスを前記アドレスフィルタ部に設定することを特徴とする中継サーバ。 A relay server according to any one of claims 1 to 3,
The said filter setting part sets the IP address memorize | stored in the said address storage part for a filter to the said address filter part also when connecting with WAN by the said 1st communication part, The relay server characterized by the above-mentioned.
JP2011289644A 2011-12-28 2011-12-28 Relay server Active JP5845898B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011289644A JP5845898B2 (en) 2011-12-28 2011-12-28 Relay server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011289644A JP5845898B2 (en) 2011-12-28 2011-12-28 Relay server

Publications (2)

Publication Number Publication Date
JP2013141071A true JP2013141071A (en) 2013-07-18
JP5845898B2 JP5845898B2 (en) 2016-01-20

Family

ID=49038165

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011289644A Active JP5845898B2 (en) 2011-12-28 2011-12-28 Relay server

Country Status (1)

Country Link
JP (1) JP5845898B2 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003008683A (en) * 2001-06-18 2003-01-10 Nec Corp Cellular phone apparatus with usb reconnection function, and communication recovery method of the device
WO2005122492A1 (en) * 2004-06-07 2005-12-22 Nippon Telegraph And Telephone Corporation Domestic network setting method, home gateway device, home gateway program, and recording medium
JP2008219643A (en) * 2007-03-06 2008-09-18 Nec Corp Mobile terminal device, mobile phone, vpn connection system, vpn connection method, and program
JP2009157825A (en) * 2007-12-27 2009-07-16 Murata Mach Ltd Relay server and relay communication system
JPWO2010073563A1 (en) * 2008-12-24 2012-06-07 パナソニック株式会社 CONFERENCE DEVICE AND COMMUNICATION SETTING METHOD

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003008683A (en) * 2001-06-18 2003-01-10 Nec Corp Cellular phone apparatus with usb reconnection function, and communication recovery method of the device
WO2005122492A1 (en) * 2004-06-07 2005-12-22 Nippon Telegraph And Telephone Corporation Domestic network setting method, home gateway device, home gateway program, and recording medium
JP2008219643A (en) * 2007-03-06 2008-09-18 Nec Corp Mobile terminal device, mobile phone, vpn connection system, vpn connection method, and program
JP2009157825A (en) * 2007-12-27 2009-07-16 Murata Mach Ltd Relay server and relay communication system
JPWO2010073563A1 (en) * 2008-12-24 2012-06-07 パナソニック株式会社 CONFERENCE DEVICE AND COMMUNICATION SETTING METHOD

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6015022372; ソフトバンク: '製品情報' USBスティックSoftBankC01C , 20090306, ソフトバンク株式会社 *

Also Published As

Publication number Publication date
JP5845898B2 (en) 2016-01-20

Similar Documents

Publication Publication Date Title
US9173117B2 (en) Enhancing a mobile backup channel to address a node failure in a wireline network
EP2745471B1 (en) Architecture for virtualized home ip service delivery
JP5378494B2 (en) Data transmission system and method using relay server
JP4989745B2 (en) Apparatus, method, and program for relaying communication
JP5763849B2 (en) Device configuration and method for realizing a data transfer network used in remote control of properties
JP6082156B1 (en) COMMUNICATION SYSTEM, ADDRESS NOTIFICATION DEVICE, COMMUNICATION CONTROL DEVICE, TERMINAL, COMMUNICATION METHOD, AND PROGRAM
JP5682782B2 (en) Relay server and relay communication system
JP5367764B2 (en) Virtual network system, configuration change method, tunnel connection apparatus, and program
CN106416146B (en) Communication apparatus, communication method, and communication system
JP5687388B2 (en) Device configuration for remote control of buildings
TWI527405B (en) Relay server and relay communication system
US8554935B2 (en) Relay server and relay communication system
JP5621639B2 (en) Relay server and relay communication system
JP2010283762A (en) Communication route setting device, communication route setting method, program, and storage medium
JP5437518B2 (en) Virtual network system, configuration change method, tunnel termination device, tunnel connection device, and program
CN109039849B (en) Multi-device common networking method, storage medium and multi-device all-in-one machine
JP5845898B2 (en) Relay server
JP5874356B2 (en) Relay server and relay communication system
JP2005150794A (en) Computer apparatus and computer program
JP4371955B2 (en) Button telephone system and voice data communication method used therefor
JP5849695B2 (en) Relay server
JP2012170008A (en) Relay server and relay communication system
JP2010278858A (en) Communication network system, terminal setting method and ip telephone set
JP2005311658A (en) Radio access point and radio system
JP6755171B2 (en) Connection switching system, connection switching method, and connection destination device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141030

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150529

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150604

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150803

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20151027

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20151109

R150 Certificate of patent or registration of utility model

Ref document number: 5845898

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250