ブロードバンドルータのパケットフィルタリング機能は、特別な設定をしなくても、WAN側からの不正なアクセスを遮断してくれます。
しかし、初期状態のままだと、LAN側からの通信は全て通過するようになっています。
LAN側からのアクセスを制限するためには、自分でパケットフィルタリングの設定を行う必要があります
LAN側からインターネットへのアクセスを制限する設定方法について簡単に説明します。
ブロードバンドルータのパケットフィルタリング機能では、初期状態のままだと、LAN側からの全ての通信を許可するようになっています。
ダイナミックフィルタリングやSPIで自動的に行われるフィルタリングの対象は、WAN側からの通信のみです。
このまま使用しても、家庭内LANのセキュリティは一定レベルに維持できるので、特に問題はありません。
しかし、何らかの事情で家庭内LANからインターネットへのアクセスを制限したい場合もあるでしょう。
例えば、特定のパソコンをインターネットへ接続できないようにしたい場合や、特定のアプリケーションで行う通信を制限したいような場合です。
そのような時には、ブロードバンドルータにパケットフィルタリングの設定を追加することで、LAN側からのアクセスを制限することができます。
上図では、TCP・あて先ポート番号80のパケットのみが通過できるように、LAN側からの通信を制限しています。
フィルタリングに追加したルールは、LAN→WANの通信に対し、TCP・あて先ポート番号80の許可と、全て拒否の2つです。
パケットフィルタリングでは、設定されているルールを順に照合し(この例では上から)、初めに合致したルールが適用されます。
上図の例では、LAN→WAN・TCP・あて先ポート番号80のパケットは、1番上のルールに合致するので通過が許可され、それ以外のLAN→WAN通信は、上から2番目のルールによって全て遮断されます。
この例では、特定の通信を指定してルールを追加していますが、それ以外にも、送信元やあて先のIPアドレスを指定してルールを追加することも可能です。
※特定の通信:TCP・ポート番号80はWebアクセスで使用される
それでは、実際にブロードバンドルータへパケットフィルタリングの設定を追加してみましょう。
設定を始める前に、どのようなアクセス制限を行うか決めておきます。
この例では、ネットワークゲームやファイル共有ソフトで使用されることが多い、ポート番号1024〜65535があて先となっているアクセスを制限したいと思います。(ポート番号0〜1023のWell-known
Port Numberは許可)
※Well-known Port Number:Webやメールなど、インターネットで広く使われるプロトコルが使用するポート番号
上記を実現するために行うブロードバンドルータの設定は、以下のようになります。
説明に使用するブロードバンドルータは、「BUFFALO WHR-AMPG」です。
※この例の設定を行うと一部のソフトは使用できなくなります。ご注意下さい。
まず、付属のツールなど利用して、ブロードバンドルータの設定画面を呼び出します。
AirStation設定ツールの場合は、設定を行うブロードバンドルータを選択して、「WEB設定」をクリックします。
※ブラウザのアドレス欄に「http://192.168.11.1/」(ブロードバンドルータのLAN側IPアドレス)と入力しても設定画面を呼び出せます。
認証画面が表示されるので、ユーザー名に「root」と入力し、「OK」をクリックします。
設定のTOP画面が表示されるので、「セキュリティ」をクリックします。
ファイアウォールの設定画面が表示されるので、「IPフィルタ」をクリックし、IPフィルタ設定の画面を表示させます。
IPフィルタ設定の画面が表示されます。
各項目を入力して、「追加」をクリックします。
<入力参考>
○ 動作:条件に当てはまるパケットに対する処理
○ 方向:処理を適用するパケットの通信方向(LAN→WAN/WAN→LAN)
○ IPアドレス:処理を適用するパケットのIPアドレス(空欄の場合は全てに適用)
○ プロトコル:処理を適用するパケットのプロトコルとポート番号(ポート番号は「−」で範囲指定可能)
登録が完了すると、下の「IPフィルタ登録情報」に登録内容が表示されます。
同じ要領で、設定したいルールを追加していきます。
ルールは上から順に照合されるので、追加(先頭/終端)のボタンを上手く使いましょう。
ルールの順番は後で変更することもできます。
設定した全てのルールが「IPフィルタ登録情報」に表示されていることを確認します。
登録内容に誤りが無いことも確認しましょう。
以上で設定は終了です。
この例の設定を行うと、LAN側からのTCP/UDPポート番号1024〜65535をあて先としたパケットは、ブロードバンドルータによって遮断されるようになります。
ここでは、上記のような例を紹介しましたが、IPアドレスを指定してアクセスを制限することも可能です。
IPアドレスを指定することで、特定のパソコンだけインターネット接続を制限することもできます。
(対象のパソコンはIPアドレスを固定する必要があります。)
パケットフィルタリングの設定を行う場合の注意点は、通信の方向(LAN→WAN/WAN→LAN)と送信元/あて先の関係に注意しましょう。
その点だけ注意すれば、設定自体はそれほど難しくありません。
このページの例が少しでも参考になればと思います。