パソコンおやじ様。
はじめまして、まやと申します。
いろいろと参考にさせていただいており、大変感謝しています。
ルータの設定も参考にさせていただき設定をしているのですが、
うまくいかない部分があるので、お手数ですが質問させてください。
まず私の環境をご説明します。
回線はBフレッツで、提供されているルータ(PR-200NE)を使用しています。
プロバイダはinterlinkで、固定IPです。
サーバーを公開するため、ポートマッピングでwwwとftpのポートをサーバーに割り当てています。
WANからのプライベートIPになりすまして侵入防止のため、
以下のようにフィルタの設定をすると、
なぜか、WANへの接続ができなくなります。
------------------------------------
パケットフィルタリングの設定は以下です。
フィルタ:WAN側
送信元IPアドレス:192.168.0.0/255.255.0.0
あて先IPアドレス:*
プロトコル:*
送信元ポート番号:*
宛先ポート番号:*
ACT:破棄
方向:順方向(送信元IP→あて先IP)
------------------------------------
NTTに電話をしたところ、
・プライベートアドレスがインターネット上に存在することは、
ネットワークの規格上ありえない(偽装でも)。
・この設定だと、ルータのWAN側のポートを塞いでいるので、
LAN側からWAN側へのアクセスも塞いでいる。
(フィルタ:WAN側というのは、WAN側の口という意味でWANからのアクセスと言う意味ではない。)
・WAN側にアクセスするには、PCに割り当てられているIPアドレスを通過する設定にする必要がある。
との回答を頂きました。
ですが、NTT側の回答を信じるならば、
WAN側からのプライベートアドレス拒否は不要ということになりますし、
プライベートアドレスに対するフィルタ設定も不可能ということになってしまいます。
NTTには申し訳ないのですが、いまいち信用しきれません。
長くなってしまいましたので、質問をまとめさせていただきます。
・普通ルータのフィルタ設定でLAN側、WAN側と言ったら送信元IPアドレスの場所がどちらにあるのかという意味だと思うのですが、どうでしょうか?
多くの方がIPスプーフィングの対応をとっていることを考えると、そう考えた方が正しく思えます。
・NTTの言う設定でセキュリティーに問題ないでしょうか?
PCのIPアドレスを通過設定にしているので、IPスプーフィングの対策として、意味がなく感じます。
・適正なIPスプーフィング対策をするための策などありましたら、ご教授願えませんでしょうか?
長文になってしまいましたが、どうぞよろしくお願いします。
> ・普通ルータのフィルタ設定でLAN側、WAN側と言ったら送信元IPアドレスの場所がどちらにあるのかという意味だと思うのですが、どうでしょうか?
そう思います。通常インターフェイスと思います。
NTTもインターフェイスですが、ちょっと意味合いが違いますよね・・。
受信したインターフェイスでは無く、
適用するインターフェイスとなっています。
なので、まやさんの意図していることは、できない仕様ですね。
#いまだ、WAN側とLAN側でどう違うのかわからん・・。
#確か、複数先接続を使用している時に発揮するんだっけな?
> ・NTTの言う設定でセキュリティーに問題ないでしょうか?
> PCのIPアドレスを通過設定にしているので、IPスプーフィングの対策として、意味がなく感じます。
うーん、一様SYNチェックとかやってるんで、個人使用ならいいのではないでしょうか?
> ・適正なIPスプーフィング対策をするための策などありましたら、ご教授願えませんでしょうか?
固定IPなんで、
送信元IPアドレス:192.168.0.0/255.255.0.0
あて先IPアドレス:固定IP
とかで、いけるかな?
確か、NTTでいう「WAN側」設定というのは、
適用されるのが、NAT変換後だからダメかもしれない・・・。
あとは、PPPoEをスルーさせて、サーバならアプライアンスで対策とる。ってぐらいですかね。
この機種は、NECアクセスのものですよね。
だとすれば、NTTの説明は正しいです。自分のものではありませんがDR202Cや他のNEC製ルータのときにわかったのですが、NECのフィルタはデフォルトで基本的にスルーとなっていて、セキュリティはポートマッピングしていなければ大丈夫というポリシーのもので、かなり限定的な設定しかできません。
以下インラインで・・。
> まず私の環境をご説明します。
> 回線はBフレッツで、提供されているルータ(PR-200NE)を使用しています。
> プロバイダはinterlinkで、固定IPです。
> サーバーを公開するため、ポートマッピングでwwwとftpのポートをサーバーに割り当てています。
>
> WANからのプライベートIPになりすまして侵入防止のため、
> 以下のようにフィルタの設定をすると、
> なぜか、WANへの接続ができなくなります。
> ------------------------------------
> パケットフィルタリングの設定は以下です。
> フィルタ:WAN側
> 送信元IPアドレス:192.168.0.0/255.255.0.0
> あて先IPアドレス:*
> プロトコル:*
> 送信元ポート番号:*
> 宛先ポート番号:*
> ACT:破棄
> 方向:順方向(送信元IP→あて先IP)
> ------------------------------------
>
> NTTに電話をしたところ、
>
> ・プライベートアドレスがインターネット上に存在することは、
> ネットワークの規格上ありえない(偽装でも)。
プロバイダ回線ならかなりガードされているかもしれませんが、必ずしもそうではないです。但し、抜けたとしてもできるのはSYN floodぐらいなので、個人用なら落ちるだけなのであまり気にする必要はないと思います。
> ・この設定だと、ルータのWAN側のポートを塞いでいるので、
> LAN側からWAN側へのアクセスも塞いでいる。
> (フィルタ:WAN側というのは、WAN側の口という意味でWANからのアクセスと言う意味ではない。)
これはNEC製ルータなら、下記を含め正しい説明と思います。
> ・WAN側にアクセスするには、PCに割り当てられているIPアドレスを通過する設定にする必要がある。
>
> との回答を頂きました。
>
>
> ですが、NTT側の回答を信じるならば、
> WAN側からのプライベートアドレス拒否は不要ということになりますし、
> プライベートアドレスに対するフィルタ設定も不可能ということになってしまいます。
> NTTには申し訳ないのですが、いまいち信用しきれません。
上記のとおりNEC製ルータなら、不要かどうかは別にしてできないので正しい説明と思います。
> 長くなってしまいましたので、質問をまとめさせていただきます。
> ・普通ルータのフィルタ設定でLAN側、WAN側と言ったら送信元IPアドレスの場所がどちらにあるのかという意味だと思うのですが、どうでしょうか?
PR-200NEのオンライン説明書がないのでなんとも言いがたいですが、一般的にはおっしゃるとおりにインタフェースを示すという説明があると思いますが、たおさんが書かれていますが、「適用するインターフェイス」と書かれており、NEC製ならNTTの説明が正しいです。
つまり、方向は関係なくWANなら外部との通信に全て関係する設定であり、且つ、方向についてはIP(インターネット側は*(any)しか設定できないので、プライベートも含まれてしまう)とポート指定しかできないので、実質、ポートを全て遮断するような設定(netbios等)ぐらいしか設定できません。
> 多くの方がIPスプーフィングの対応をとっていることを考えると、そう考えた方が正しく思えます。
>
> ・NTTの言う設定でセキュリティーに問題ないでしょうか?
> PCのIPアドレスを通過設定にしているので、IPスプーフィングの対策として、意味がなく感じます。
>
> ・適正なIPスプーフィング対策をするための策などありましたら、ご教授願えませんでしょうか?
NEC製なら、NTTの説明を見てもフィルタはデフォルトのまま使用するのが正解。
「PCのIPアドレスを通過設定」というのが何かわかりませんが、フィルタを触ったのなら元へ戻すべきです。
これで、ネットワークレベルでセキュリティが劣るとはおやじは思いません。デーモンの脆弱性のほうが問題と思います。
http://www.aconus.com/~oyaji/router/dr202c_conf.htm
おやじ様、たお様、お返事ありがとうございます。たいへんうれしいです。
NTTにどこ製のルータか確認したら、
NTT製だと答えられましたが、ネットで調べていたらNEC製のルータを設定画面が同じでしたので、恐らくNEC製で間違いないと思います。
対応されたNTTの方が、たどたどしい感じだったので不安だった(NTT様、ごめんなさい)のですが、
お二人の丁寧なご回答で納得&安心できました。
スプーフされても大きな影響はないのですね。
デフォルトに戻して運用してみます。
本当にありがとうございました。