IPアドレスやホスト名を指定して不正アクセス拒否できる家庭用ルーターの紹介

スポンサーリンク

ルーターの設定を行い不審なアクセスを拒否

特定のIPアドレスやホスト名を指定してルーターへのアクセスを拒否したい

特定のIPアドレスやホスト名を指定してアクセスを拒否できるルーターってありますか?と問い合わせを頂きました。
WEBサーバを管理している人なら「.htaccess」による特定IPアドレスやホスト名を拒否する設定を思い浮かべるのですが、ルーターにIPアドレスやホスト名を拒否できる製品?思い出せなかったので調べました
.htaccessでは以下のような感じでWEBサーバにアクセスできなくする事ができる。マスク長を指定すると大規模にアクセス制限を掛ける事ができる。
deny from 208.***.85.74
deny from funs*****help.info
deny from 63.***.224.0/19
*(ワイルドカード)で隠しているのは特に意味はありませんが、悪意あるIPアドレスとホスト名の為隠しています。ご了承願います。

ホスト名は拒否できないがIPアドレスとマスク長を指定してアクセス(インバウンド側)拒否できる製品

家庭向けではNECのAterm ルーターNTTが提供するフレッツ光モデム内蔵ルーターパケットフィルタでIPアドレスとマスク長を指定してアクセス拒否させる事ができる
家庭向けでは無く設定もコマンドを用いるなどハードルは高いがヤマハ製のルーターもパケットフィルタに対応しておりIPアドレスとマスク長を指定してアクセス制限を掛ける事ができる。
Atermシリーズルーターのパケットフィルタ設定画面。
Aterm パケットフィルタリング設定画面

パケットフィルタ IPアドレス拒否設定準備

まず拒否したいホスト名またはIPアドレスの範囲を調べます。
調べる方法はwhoisを使うと良いでしょう。
ホスト名「cloud.z.com」と言うホストを拒否したい場合は次のIPアドレス範囲を指定しなければならない。
「163.44.64.0 – 163.44.191.255」
IPアドレス計算機サービスなどを使いマスク長を調べます。
cloud.z.comが使うIPアドレス範囲は163.44.0.0/マスク長16の情報をパケットフィルタに設定して拒否させる事ができる。
補足、拒否したいIPアドレス範囲を調べる場合もwhoisを使うと範囲を調べられます
2018-filter-04235
悪意あるアクセスはランダムなIPアドレスを使用してくるので一概に一つだけとは限らないので、必ず頻繁に不正アクセスを働くIPアドレスの監視は怠らないようにして下さい。

Atermシリーズパケットフィルタを使いIPアドレスを拒否する設定説明

163.44.0.0/マスク長16をパケットフィルタに登録する方法
Atermの設定画面を開いて(Atermポート開放説明にログイン方法を掲載しています)
「詳細設定」-「パケットフィルタ設定」を開きます。2018-filter-04236
設定を追加する前に優先度が何番が最後なのか調べます。Atermのデフォルトパケットフィルタは18番まで設定されているはずなので、パケットフィルタを追加する場合はそれ以降の番号を指定しなければならない。
2018-filter-04232
次の様に設定をします。

  • 種別 破棄
  • 方向 in
  • プロトコル IPすべて
  • 送信元IPアドレス any/localhostの下のラジオボタンにチェックを入れ「IPアドレス」/「マスク長」を指定
  • 優先度 19 →追加する場合は繰り上がる。

補足、anyとはワイルドカードを意味するので全てと言う事を表します
2018-filter-04237
ホスト名「cloud.z.com」と言うホストを拒否する設定例
「163.44.64.0 – 163.44.191.255」範囲は163.44.0.0/マスク長16

  • 種別 破棄
  • 方向 in
  • プロトコル IPすべて
  • 送信元IPアドレス any/localhostの下のラジオボタンにチェックを入れ「163.44.0.0」/「16」
  • 優先度 19 →追加する場合は繰り上がる。

設定から保存をクリックして下さい。
2018-filter-04238
前のページに戻り、設定が追加されていることを確認下さい。
2018-filter-04239

NTTルーター(PR-200NE PR-S300 RT-400 RT-500シリーズ)パケットフィルタを使いIPアドレスを拒否する設定説明

搭載サイトのIPアドレス「153.127.233.162」を参考に説明致します。
IPv4パケットフィルタ設定を開く。
2018-filter-042313
設定の無いエントリ番号右側の「編集」ボタンをクリックする
2018-filter-042315
IPv4パケットフィルタ設定エントリ編集画面が表示されるので次の様に設定します。

  • フィルタ種別 拒否
  • 通信方向 WAN→LAN (インバウンド方向です)
  • プロトコル 全て指定
  • 接続インターフェース名 全て (セッション個別で設定もできる)
  • 送信元IPアドレス/マスク長 全て指定の下のラジオボタンにチェック「153.127.233.0」/「24」

設定ボタンをクリック。注意、これで設定が完了したわけではない必ず最後まで読んで下さい
他設定不要で全てany(全て・ワイルドカード)指定で構わない。個別で設定しても良いのだが間違えるとフィルタされていない場合がある。
2018-filter-042316
IPv4パケットフィルタ一覧に戻るので、必ず追加したエントリー番号にチェックを入れる
2018-filter-042317
次にページ上または下にある設定ボタンをクリックして保存。
以上で設定完了です。
2018-filter-042318
注意事項、v6プラス(IPoE)ご契約の場合IPv6側の不正アクセスは上記の設定で拒否できない。
SIPファイアウォールが外部不正アクセスを拒否してくれるのだが、心配であればパソコン側のTCP/IP(IPv6)を無効にすると良いでしょう。
https://www.akakagemaru.info/port/faq-ipv4.html

パケットフィルタによる不正アクセスブロックテスト

私のサイトに設置しているサーバIPアドレス「153.127.233.162」より、私の使っているパソコンにANHTTPDを導入し8080番でパケットが到達できなくするテストです。
8080番を拒否するという事はany(ワイルドカード)アクセスをIPを指定して拒否できる事を意味します。

仮想 不正アクセステスト & 不正アクセス拒否設定説明

Atermルーターで説明します。NTTルーターも基本的に同じ手順です。
当サイトのポート開放確認サービスを利用し仮想不正アクセス拒否テスト手順を説明致します。
まずANHTTPDを入手し起動します。ANHTTPD動作はそのまま80番でも構わないのですが8080番で今回はテストしました。
Atermにポート開放設定を追加します。


次にポート開放確認ページを開いて8080ポートチェックを行い、ポート開放できているかを確認。
ポート開放に成功すれば153.127.233.162から仮想不正アクセス成功
2018-filter-042310
次に153.127.233.162に対してパケットフィルタルールin方向・破棄する設定を追加します。
IPアドレスの範囲がわからない場合は「153.127.233.162」の場合であれば第四セグメントを0にしてマスク長を24「153.127.233.0/24」とすると良いでしょう。

  • 種別 破棄
  • 方向 in
  • プロトコル IPすべて
  • 送信元IPアドレス any/localhostの下のラジオボタンにチェックを入れ「153.127.233.0」/「24」を指定
  • 優先度 19 (重複しないようにしてください)

設定から保存をクリック。
2018-filter-042312
以上で準備完了です。ポート開放の確認ページを開き8080をポートチェックさせ、次の様にエラーが表示されれば不正アクセス拒否できていると判断できます。
2018-filter-042311
何かわからないことがあればコメント欄にご質問下さい。

コメント

タイトルとURLをコピーしました