Sorry. This page is Japanese only.

パケットフィルタリング

流れてきては困るパケットを受け付けないようにしましょう。

不正アクセス防止の第一歩

自分のPCには、様々なデータが流れ着いてきます。その中には、当然不必要なデータもあるわけです。その不必要なデータをルーターでカットしてしまおう、と言うことです。
そうすることにより、不必要なパケットデータが自分のPCで悪さをしたりすることを防ぐ効果があります。ポートスキャンなどには特に効果的です。

実際の設定方法

実際の設定方法は以下の通りです。MN128-SOHOの説明書に書いてあるパケットフィルティングのしかたを見ながらご覧ください。
ip filter 1 reject in 0.0.0.0/32 * * * * remote * ip filter 2 reject in 255.255.255.255/32 * * * * remote * ip filter 3 reject in 10.0.0.0-10.255.255.255 * * * * remote * ip filter 4 reject in 172.16.0.0-172.31.255.255 * * * * remote * ip filter 5 reject in 192.168.0.0-192.168.255.255 * * * * remote * ip filter 6 pass in * * tcp ftpdata-ftp * remote * ip filter 7 pass in * * tcp telnet * remote * ip filter 8 pass in * * udp domain * remote * ip filter 9 pass in * * tcp domain * remote * ip filter 10 pass in * * tcp pop3 * remote * ip filter 11 pass in * * tcp smtp * remote * ip filter 12 pass in * * tcp nntp * remote * ip filter 13 pass in * * tcp www * remote * ip filter 14 pass in * * * 1024-65535 * remote * ip filter 15 pass in * * icmp * * remote * ip filter 16 reject in * * * * * remote * ip filter 29 restrict out * * tcpfin * * remote * ip filter 30 restrict out * * * * 137-139 remote * ip filter 31 restrict out * * * 137-139 * remote * ip filter 32 restrict out * * udp 137 domain remote *
設定先は、ブラウザ設定画面の「IP設定」の「オプション」のフィールドに代入という形になります。
では、一行ずつ説明していきます。

ip filter 1 reject in 0.0.0.0/32 * * * * remote *
ip filter 2 reject in 255.255.255.255/32 * * * * remote *
Directedブロードキャストアドレスからのデータを受け付けません。念のため。
ip filter 3 reject in 10.0.0.0-10.255.255.255 * * * * remote *
ip filter 4 reject in 172.16.0.0-172.31.255.255 * * * * remote *
ip filter 5 reject in 192.168.0.0-192.168.255.255 * * * * remote *
本来インターネット上にあり得ないプライベートアドレスからのデータを受け付けません。念のため。
ip filter 6 pass in * * tcp ftpdata-ftp * remote *
こちらから相手のサーバへFTPの接続を許可します。
ip filter 7 pass in * * tcp telnet * remote *
こちらから相手のサーバへTELNETの接続を許可します。使わない場合は書かないことをおすすめします。
ip filter 8 pass in * * udp domain * remote *
ip filter 9 pass in * * tcp domain * remote *
こちらから、相手先のDNSサーバへの参照を許可します。
ip filter 10 pass in * * tcp pop3 * remote *
こちらから、POP3のメールサーバへの接続を許可します。
ip filter 11 pass in * * tcp smtp * remote *
こちらから、SMTPサーバへの接続を許可します。
ip filter 12 pass in * * tcp nntp * remote *
こちらから、NEWSサーバへの接続を許可します。
ip filter 13 pass in * * tcp www * remote *
こちらから、Webサーバへの接続を許可します。
ip filter 14 pass in * * * 1024-65535 * remote *
相手から、自分のサーバへの接続要求などを受け付けます。これがないと自宅サーバが使えません。
ip filter 15 pass in * * icmp * * remote *
PINGなどで使用するパケットが通るようにします。
ip filter 16 reject in * * * * * remote *
これ以外のパケットは、進入できなくなるようにします。必須!

6～13で、普段使わないプロトコルがこの中にある場合は、それを許可しないことをおすすめします。たとえばTELNETは普段使わないと言うことであれば、7行目は記述しなければOKです。
逆に、使いたいサービスがある場合は、14行目に書いてある文より高い優先度の所に追加してください。例 NTPを許可: 「ip filter ? pass in * * UDP NTP * remote *」(?には任意の優先度番号を入れる)。
どちらにしても、何か使いたいプロトコルを許可したり、使わないプロトコルを削除した場合も、15行目に書いてある文は一番最低の優先度にしてください!そうしないと、ポートを塞ぐ意味がありません。

_{[packet-filting.html　1999年07月31日更新]}

|　トップページ |　もくじ |