パケットフィルタの設定例
ここでは下の図を例にして、パケットフィルタ設定について説明します。
以下のすべてのWAN側IPアドレス(10.10.10.1)や送信元IPアドレス(100.100.20.1)は例です。
WAN側IPアドレスは、無線LANアクセスポイント(本商品)に割り当てられたグローバルIPアドレスを設定しています。
送信元アドレスは、インターネット側からアクセスしてくる端末のグローバルIPアドレスを設定
しています。
WAN側IPアドレスは、ブロードバンド接続事業者またはプロバイダから割り当てられたIPアドレスを入力してください。 

※設定したWAN側IPアドレスは、「現在の状態(表示モード:拡張)」−「接続先1〜接続先5 [接続設定1〜
  接続設定5] 状態」のWAN側IPアドレスで確認することができます。
■外部の特定の端末から無線LANアクセスポイント(本商品)のtelnetポ−トへの
 アクセスを防止する場合
ネットワーク構成例
 
WAN側/LAN側 WAN側にチェックします。
エントリ番号 設定したいエントリ番号を選びます。
フィルタ種別 拒否
送信元IPアドレス 100.100.20.1(アクセスを防止したい端末のグローバルIPアドレス)(1)
※外部のすべてからのアクセスを拒否したい場合は*(アスタリスク)
宛先IPアドレス 10.10.10.1/255.255.255.255、もしくは localhost/255.255.255.255(2)
※固定IPサービス利用時以外は、「localhost/255.255.255.255」にした方が良い
プロトコル種別 TCP
送信元ポート *
宛先ポート 23 もしくは telnet
方向 順方向


<主なポート番号の例>
 下記以外の番号/サービス名を割り振る場合や詳細については、
 ご利用になるサービス等の説明書を参照してください。

ポート番号 サービス名
20 ftpdata
21 ftp
23 telnet
25 smtp
53 dns
80 www
110 pop
WAN側/LAN側
フィルタ処理を無線LANアクセスポイント(本商品)のWAN側(インターネット側)で処理を行うのか、LAN側で処理を行うのかを指定します。LAN側フィルタは、全接続先共通です。
   
エントリ番号
  エントリ1〜18番は基本的にシステム用に予約されています。変更/削除は可能ですが、無線LANアクセスポイント(本商品)が正しく動作しなくなる可能性がありますのでご注意ください。
   
フィルタ種別
設定条件に合致したパケットをどのように処理するかを指定します。
   
送信元IPアドレス
  処理したいパケットの発信元IPアドレスを指定します。
上記の例では、インターネット側からアクセスしてくる端末のグローバルIPアドレス(100.100.20.1)を指定しています。相手側のIPアドレスが特定できない場合には、「*」を指定します。
   
宛先IPアドレス
  処理したいパケットの宛先IPアドレス /サブネットマスクを指定します。
上記の例では、無線LANアクセスポイント(本商品)に割り当てられたグローバルIPアドレスを指定します。グローバルIPアドレスが固定で割り当てられる場合にはそのアドレスを、自動割り当ての場合にはlocalhostと指定します(localhostは無線LANアクセスポイント(本商品)自身を表しています)。
   
プロトコル種別
  処理したいパケットのプロトコル種別を「TCP/UDP/ICMP/すべて」から選択します。
   
送信元ポート
/宛先ポート
  処理したいパケットのポート番号を指定します。次の形式で指定します。
xxxxx (1箇所の指定)
sssss-eeeee (範囲指定)
ニーモニック (ftp,ftpdata,telnet,smtp,dns,gopher,www,pop,ntp,
nntp,netbios,imap,snmp,nfs,socks,dhcps,dhcpc,
tftp,ident,https)

「送信元ポート」または「宛先ポート」の設定において、ニーモニックで'netbios'を指定した場合でも、ポート番号137〜139のポートを指定したことになります。
また、ポート番号を137〜139の中のどれかひとつ、または2つのポートを指定した場合でも、ポート番号137〜139のポートを指定したことになり、設定後のフィルタエントリには'netbios'と表示されます。
* (全ポート指定)
   
方向
  処理したいパケットの方向を選択します。
順方向:送信元IPアドレス→宛先IPアドレスの方向です。
逆方向:宛先IPアドレス→送信元IPアドレスの方向です。
両方向:宛先IPアドレス←→送信元IPアドレスの方向です。
   
■設定手順
1. 無線LANアクセスポイント(本商品)の「クイック設定Web」を開く。
2. 「詳細設定」-「パケットフィルタ設定」をクリックする。
3. 編集する接続先のプルダウンメニューで接続先を選択し、下記のように設定する。
画面例

「送信元ポート」と「宛先ポート」には、パケットを拒否したいポート番号やサービス名を入力してください。(この例での「宛先ポート」の設定は、ニーモニック設定です。)
4. [編集]をクリックする。
5. [フィルタエントリ]の[最新状態に更新]をクリックする。
6. 編集したフィルタエントリの「エントリ番号(50)」のWAN側チェックボックスをチェックする。
7. [適用]をクリックする。
8. [登録]をクリックし、無線LANアクセスポイント(本商品)を再起動する。
■外部の特定端末からのアクセスによる無線LANアクセスポイント(本商品)から
 外部へのNetBIOS等による意図しない情報漏洩を防止する場合
ネットワーク構成例
 
WAN側/LAN側 WAN側にチェックします。
エントリ番号 設定したいエントリ番号を選びます。
フィルタ種別 拒否
送信元IPアドレス 100.100.20.1(アクセスを防止したい端末のグローバルIPアドレス)(1),(3)
※外部のすべてからのアクセスを拒否したい場合は*(アスタリスク)
宛先IPアドレス 10.10.10.1/255.255.255.255、もしくは localhost/255.255.255.255(2),(4)
※固定IPサービス利用時以外は、「localhost/255.255.255.255」にした方が良い
プロトコル種別 TCP
送信元ポート *
宛先ポート netbios
方向 両方向
■設定手順
1. 無線LANアクセスポイント(本商品)の「クイック設定Web」を開く。
2. 「詳細設定」-「パケットフィルタ設定」をクリックする。
3. 編集する接続先のプルダウンメニューで接続先を選択し、下記のように設定する。
  画面例

「送信元ポート」と「宛先ポート」には、パケットを拒否したいポート番号やサービス名を入力してください。(この例での「宛先ポート」の設定は、ニーモニック設定です。)


4. [編集]をクリックする。
5. [フィルタエントリ]の[最新状態に更新]をクリックする。
6. 編集したフィルタエントリの「エントリ番号(50)」のWAN側チェックボックスをチェックする。
7. [適用]をクリックする。
8. [登録]をクリックし、無線LANアクセスポイント(本商品)を再起動する。
 
<補足事項> −パケットの方向について−
  • 上記の設定を例にして、パケットの方向を変えるとどのような動きになるのかを示します。
    ネットワーク構成例
順方向((1)(2)へ向かう方向)
エントリ番号 50
フィルタ種別 拒否
送信元アドレス 100.100.20.1 (アクセスを防止したい端末のグローバルIPアドレス) (1)
宛先IPアドレス 10.10.10.1もしくはlocalhost (2)
プロトコル種別 TCP
送信元ポート *
宛先ポート 137-139
方向 順方向
逆方向((4)(3)へ向かう方向)
エントリ番号 50
フィルタ種別 拒否
送信元アドレス 100.100.20.1 (アクセスを防止したい端末のグローバルIPアドレス) (3)
宛先IPアドレス 10.10.10.1もしくはlocalhost (4)
プロトコル種別 TCP
送信元ポート *
宛先ポート 137-139
方向 逆方向

【フィルタエントリの適用順】

A. エントリ番号1〜50の“拒否”条件
(拒否の中では、エントリ番号が若いほど、フィルタリングの優先順位が高くなります。)
B. エントリ番号1〜50の“通過”条件
(通過の中では、エントリ番号が若いほど、フィルタリングの優先順位が高くなります。)
優先順位 [低い] A < B [高い]
(あるパケットに対し、拒否通過の両方が指定されている場合、通過の条件が優先されます。)
 
【無通信監視タイマの有効化/無効化】
  • パケットの判定は無通信監視タイマの有効化と無効化では、無通信監視タイマの有効化が優先されます。 

  • パケットを判定する流れは下図のようになります。
 
※ポートマッピングとパケットフィルタを組み合わせた設定についてはこちらをご覧ください。
 
↑ページのトップへ