メインページへ
パケットフィルタリングOUT制御の設定 + DNSリレー☆
筆者 ノニト氏☆
2002/06/22
Amit系ルーターでは、NAT&IPマスカレードを使っている限り、
何も設定しなくても、WAN側から入ってくる不正なパケットは全てブロックされ、
LAN側から外へ(WANへ)出ていくパケットは全て通す ようになっています。
つまり、パケットフィルターのIN制御側は、
自分で設定して仮想サーバー機能やDMZ設定で開けたポート以外は塞ぐ必要は無いです。
(デフォルトで塞がれているから)。
パケットフィルタリングOUT制御は、いろいろな使い方ができるので説明します。
>ポート137-139と445の説明
まず、Windowsパソコンを使っている人は、外にパケットが漏れて行かないようにするために、
ポート137-139と445がWANへ出ていかないように↓の設定をしておくと良いです。
このフィルターが効いているかどうかをテストするには、
WindowsマシンのDOS窓で、
C:\WINDOWS>tracert www.yahoo.com
と打ってトレースルートして、、、その後、
ルーターの 管理者設定→ログを見る でログをチェックしてみて下さい。
このように、漏れそうになったパケットを、フィルターがブロックしたログが残っているはず・・・。
パケットフィルタリングOUT制御の動作を分かりやすくチェックする方法です。
↓このように、WAN外の80番ポートへ行くパケットを止める設定にしてから、
試しに、パソコンのブラウザで外部のウェブサイトを開いてみて下さい。
パケットがブロックされているので、開けないはず。
これを応用して、
ポート番号25 のSMTPと、ポート番号110 のPOP3へのアクセスをブロックすれば、
メールの送受信を禁止できます。Amitルーター内蔵ヘルプのポート番号簡易一覧表
最近は、勝手に大量にメールを送るウイルスが有るので、この設定にも意味が有りますね。
設定を変更できるのはルーター管理者パスワードを知っている人だけなので、
家族のパソコン初心者がウイルスメールの発信源になるのを防ぐことが出来ます。
有効/無効の切り替えで、使いたいときだけフィルターを無効にすればOK。
ウイルスが勝手にメールを送ったら、ルーターのログに残ります。
Amitのポートフィルターは、
アドレスの範囲指定も、ポートの範囲指定も可能なので、
アドレスの範囲指定を利用して、少し高度なメール管理も出来ます。
例えば、自分のパソコンのアドレスが「192.168.123.1」だとして、
[192.168.123.2-192.168.123.253]:[ ] [ ]:[25 ]
[192.168.123.4-192.168.123.253]:[ ] [ ]:[110 ]
こういう設定↓にすると、
(設定例)
アドレスが192.168.123.1のパソコンでは、SMTP/POP3でメールの送受信とも可能、
192.168.123.2と192.168.123.3のパソコンでは、POP3で、メールの受信だけが可能、
その他のパソコンでは、メールの送受信を禁止。という設定に出来ます。
おまけコーナー
WindowsのDOS窓で、
C:\WINDOWS>arp -a
とコマンドを打つと、ルーターのLAN側のMACアドレスを見れます。
ご質問は
MERON SOFT (meronsoft@green.zero.jp)
まで。
メインページへ