• 締切済み

IPアドレスのフィルタリングについて

お世話になります。 IPアドレスのフィルタリングの考え方がわからない、または自分の認識で 正しいのか間違っているのかがわかりません。 ご教示いただければ幸いです。 説明書 IP アドレスのフィルタリング機能は、宅内ゲートウェイで設定するセキュリティ対策です。 外部 IP アドレスセグメントのすべてのポートまたは一部のポートと通信するために、イ ントラネットの IP アドレスセグメントのすべてのポートまたは一部のポートを有効/無効 にします。IP アドレスのフィルタリング設定は、イントラネット内のデバイスと外部デバ イスの間の通信を制限するために使用されます。 とあります。 まず、そういえばそもそも「IPアドレスのフィルタリング」を行う目的がわかりません。これをしたい人は、なぜするのですか? ここでは家庭内での設定を想定します。 ①イントラネットというのは、宅内LANという認識でいいでしょうか。たとえば 外部に接続しているルーターのLAN側に、父のPC、母のPC、父のスマホ、母のスマホ、息子のスマホ、娘のタブレットが接続されているとして、これらの構成を「イントラネット」と呼称する ②IPアドレスセグメントのすべてポート、または一部のポートと通信するために これがまったくもってわかりません 。 IPアドレスセグメントというのは、たとえば 同一ネットワーク上の機器は 192.168.22.1 192.168.22.2 192.168.22.3 192.168.22.4 192.168.22.5 192.168.22.6 同一ネットワーク上に置かれている、パソコンやらスマホやらタブレットやらのIPアドレスは、ともにIPアドレスのネットワーク部が同じ (この例の場合、6台のデバイスのネットワーク部が192.168.22.Xで当統一されている) ことだと認識しています。 そしてポートというのは、ルーターのWANポート、LANポート、パソコンのLANポートといった、機器についている物理的な、あの「穴」と認識しています。 そのうえで 「IPアドレスセグメントのポート」とは、いったいなんのことやら さっぱりちんぷんかんぷんなのです。 また LAN側に開始IPアドレス、終了IPアドレスというのは たとえば オ・ト・ナなイケナイ、サイト「サイト名=AAA」のデータを 父のPC=192.168.22.1と 父のスマホ=192.168.22.2 には通すけど 母(妻)のPC=192.168.22.3 母(妻)のスマホ=192.168.22.4 思春期になりかけの息子のスマホ=192.168.22.5 まだ甘えん坊の6歳の娘がよく使うタブレット=192.168.22.6 には通さないために LAN側の開始=192.168.22.3 LAN側の終了=192.168.22.6 と指定すると、この範囲のIPアドレスを持つ機器には、 といった感じでしょうか、AAAのデータが送られないようになる のでしょうか。 あるいは 「フィルタリング方法」にブラックリスト/ホワイトリストを選択するようになっているのですが 「ブラックリスト」を選択したうえで LAN側の開始IPアドレス 192.168.22.3 LAN側の終了IPアドレス 192.168.22.6 を指定すると 192.168.22.3~192.168.22.6がブラックリストであるということになるのでしょうか。 それとも反対で 192.168.22.3~192.168.22.6の範囲のデバイスには「ブラックリスト指定したアドレスとの送受信をさせない」ということなのでしょうか ⇒そうすると、そのブラックリスト指定のIPアドレスの指定をどのように行うのか、疑問です。 自分でもわかっておらず、とりとめのない文章になってしまいまして恐縮です。 こういったことについて、知識のある方のご教示をよろしくお願いいたします。

みんなの回答

  • chachaboxx
  • ベストアンサー率23% (412/1777)
回答No.5

外部(グローバル)アドレスの話ではないでしょうか。 『外部デバイス』と書いてますし。 有害サイトをブロックするような。

  • chie65535
  • ベストアンサー率43% (8519/19367)
回答No.4

>そしてポートというのは、ルーターのWANポート、LANポート、パソコンのLANポートといった、機器についている物理的な、あの「穴」と認識しています。 それも「ポート」ですが、別の意味の「ポート」もあります。 インターネットの通信方式に「TCP/IP」と言う規格(プロトコル)があります。 TCP/IPのプロトコルには「ポート」というのがあって「WEBアクセスは80番ポート」「メール送信は25番ポート」「メール受信は110番ポート」などのように「ポート番号で何のための通信なのか判断している」のです。 特定のIPアドレスに対し「このポートは遮断」とか設定すると、設定したIPアドレスで、特定の通信が出来なくなります。 例えば「このPCではメール受信は出来るがメール送信はさせない」とか、設定できます。 例えば「WEBアクセスとメール送受信だけ通過させる」とかすれば、オンラインネットゲームを遊べなくする事が出来ます(ブラウザ版のゲームは遊べる)

  • agehage
  • ベストアンサー率22% (2552/11346)
回答No.3

だいたい概要はあってます WEBサイトの閲覧は許すけどメールは使わせない とか 特定のメールサーバしか使わせない とか お父さんは全部使える、子供はメールだけ使える とかのために使います

  • t_ohta
  • ベストアンサー率38% (5078/13272)
回答No.2

説明書のイントラネットとは宅内LANの事です。 ポートというのはルータの物理ポートの事ではなく、TCP/IPで使われる通信ポート番号の事で、パソコンやスマホの中で複数のアプリケーションが動作し通信していますが、IPアドレスは一つしかないので相手から届いたデータがどのアプリ宛なのかはIPアドレスだけでは判別できません。 その為、TCP/IPでは各アプリケーションに対して別々のポート番号を割り当てて、ポート番号によってどのアプリケーションの通信データなのか識別するようになっています。 このポート番号は代表的なアプリケーションに対しては予め決められた番号が割り当てられていて、HTTPサーバは80番とかSMTPサーバは25番といった感じで割り当てられているので、特定の機器からはHTTPサーバへ通信できないようにとか制限が掛けられます。 その機器のフィルタリング設定がどうなっているか判りませんが、例えばIPアドレスを固定設定するNASなどのサーバ類をセキュリティのため外部と通信させないようにするため、192.168.22.100~150 は外部との通信を遮断すると言った制限を設けると言った使い方のための機能として用意されているのだと思います。

  • sknbsknb2
  • ベストアンサー率38% (1127/2910)
回答No.1

とりあえず説明してみますので、わからないことは補足で質問してください。 まず、宅内ゲートウェイというのは、家庭の場合はルータのことです。 IPアドレスセグメントというのは、今回の場合はルータに接続された「LAN側」と解釈すれば良いと思います。 そしてIPアドレスフィルタリングは、WAN側からLAN側に接続しようとするWAN側のIPアドレスに対して、ルータの設定で接続可/不可を選択する機能であって、LAN内のPC同士の通信を制御するわけではありません。 例えば、あなたの家のLAN内のPCに対して攻撃してくるIPアドレスがわかっているなら、そのIPアドレスからの接続を拒否する設定にすれば、LAN内のPCに攻撃は届かないというわけです。 次にポートですが、これは物理的なLANポートとかのことではなく、通信に使う窓のようなもので、WAN-LAN間の通信に必要な窓を開け、そうでない窓はセキュリティアップのために閉じておくというように使われます。 ポートを開けるか閉じるかはルータで設定しますが、例えばブラウザで通常使われるHTTPという通信手順規格(プロトコル)は、ポート80を使うようになっているので、これを閉じてしまうとブラウザから外部のサーバに接続できなくなってしまいます。 ポートの番号は、0から65535まであって、悪意のあるプログラムは開いていそうなポートから攻撃してくるので、必要なポート以外は閉じておいたり、ポート80は閉じておいて、別のポート番号で通信できるようにブラウザ設定を変えたりということをします。

  1. カテゴリ
  2. パソコン・スマートフォン
  3. PCパーツ・周辺機器
  4. ルーター・ネットワーク機器

関連するQ&A

  • 同一セグメントでポートのフィルタリング

    社内を192.168.0.0/24のネットワークで構成しています。 サーバのセキュリティの関係から、同一セグメント上でポートフィルタリングを掛けたいのですが、同一セグメントで可能でしょうか。 192.168.0.0/24  | フィルタリング(レイヤースイッチ?)  | 192.168.0.0/24 よろしくおねがいします 

  • linuxで動的にIPアドレスのフィルタリングを

    お世話になります。 linuxでIPアドレスによるフィルタリングをしたいのですが、どうしたものか悩んでいます。 利用シーンとしてはあるネットワークプログラムの接続許可をIPアドレスで制限することですが、アタックと見なした場合に接続を制限することです。 ソケットに接続された時点でIPアドレスを確認して制限することはできますが、できれば接続すらされなくしたいのです。 IPアドレスがわかっていればiptablesで接続されないようにすることはできますが、運用中に制限するIPアドレスが増えることを想定していますのでiptablesではダメなのかなと思っています。(定義ファイルを書き換えてiptablesの再起動というのはNG) また、自動的に制限するIPアドレスを増やす仕組みも必要です。 自分でiptables相当のプログラムが書ければ問題は解決なのですが仕組みがわからないので手も足も出ません。 A.iptablesの仕組み(どうやって他のプログラムより先にコネクト要求を受けているのか、のあたり) B.iptablesのフィルタリングを動的に増やす運用の方法 C.動的にフィルタリングできる他のソフトウエア のいずれかを教えて頂けないでしょうか。

  • snifferでのフィルタリング設定

    sniffer(スニファー)のキャプチャーする際に特定のIPセグメントのみをとる方法をご存知でしたら教えてください。 例えば支店として172.16.1.0~172.16.200.0までのネットワークがあるのですが、この内172.16.10.0の支店から出たパケットのみをキャプチャー使用と考えています。 キャプチャーのフィルター設定の項目でIPアドレスとして「172.16.10.0<->any」で入れると何も取れません。フィルタリングの設定を「any<->any」するとパケットは取れるのでフィルタリングだけの問題と思います。 また、支店端末のIPアドレスを全部登録(172.16.10.1~254まで)も考えましたがフィルタリングは10個ぐらいのアドレスしか定義できないらしいのです。 1支店(172.16.10.0)のIPセグメントのみキャプチャーできるようにする事は可能でしょうか? 因みにSnifferPro4.5です。 宜しくお願いします。

  • IPアドレスのセグメントについて

    一台のパソコンに、LANカードを二枚接続して 1枚目 LANに接続 2枚目 ピアツーピアでネットワークHDDに接続 する場合、IPアドレスの設定は 1枚目 192.168.1.10 2枚目 192.168.1.11 という風に、セグメントを同じにすることは可能ですか? それとも 1枚目 192.168.1.×× 2枚目 192.168.2.×× という風に、セグメントを分けなければいけませんか? ネットワークHDDをピアツーピアから外して、LANに接続することもあるので セグメントを一緒にしておきたいと考えました。 いかがでしょうか? 初歩的な質問かも知れませんが、よろしくアドバイスをください。

  • ポート開放のときのIPアドレスについて

    オンラインゲームをやるためにポート開放をしなくてはならないのですが今できずに困っています。 多分ポート指定はあっているのだと思うのですが、指定するIPアドレスが間違っているんだと思います。 というのもうちは モデム→ルーター→(有線)PC でつながっているので、複雑なんです(私にとって) 例えばモデムのポート変更のときに指定するLAN側IPアドレス、ADSL側IPアドレスはどこのIP指定すればいいのでしょうか? ルーターの設定画面で、IPアドレスを確認したらLANのIPアドレスとWANのIPアドレスとルーターの中に2つIPがあるようで、、 同じようにルーターのポート変更のとき指定するLAN側IPアドレスはどこを指定すればいいのでしょうか? 一応今の状況は コマンドプロンプトでipconfigと打ち込んででてきたIPアドレスをインターネットプロトコルのプロパティに、優先DNSサーバーにはデフォルトゲートウェイと同じアドレスを打ち込みIPを固定。 またインターネットプロトコルのプロパティでFWのチェックをはずしました。 またこの状況は2重ルーターといい、モデム→ルーター、ルーター→PCの順にポートを開放するというのも聞きました。 環境は OSはXP モデムは MegaBit Gear TE4121C ルーターは Airstation WBR-G54 です お願いします (この設定はある掲示板に書き込まれていたのが私と全く同じ環境だったので真似させてもらいましたすみません)

  • 固定IPアドレスでもリンクアップしないとIPアドレスが割り当てられないのはなぜ?

    WindowsでネットワークのプロパティからIPアドレスを固定で指定した場合に、 LANケーブルで他の機器と接続してリンクアップしないと LANポートのIPアドレスが割り当てられません(ipconfig でIPアドレスが表示されない)が、 これはなぜでしょうか? 他の機器と接続せずにIPアドレスを割り当てた状態(pingで応答が返ってくる)にすることはできないのでしょうか?

  • TCP/IP フィルタリングで許可するポート

    EP-805Aを有線LAN接続で使用した場合に、TCP/IP フィルタリングで設定すべき許可するポートを教えてください WindowsXPでの設定です 現在「TCP/IP フィルタリング」で TCPポート 137,139,445 UDPポート 137.138.445 のみを許可しています この状態で、有線LAN接続されたEP-805Aに印刷ができません「ネットワークでエラー云々のメッセージ」 「TCP/IP フィルタリング」を無効にすれば印刷できるのは当然なのですが、XPのサポート打ち切りに合わせてXPのPCの外部への接続を遮断する必要が生じました TCPに515,9100を許可しても、プリンターのステータスも読めないようです パケットモニターで見てみると、1125,3289などの他のポートも使用されているようです どなたか、許可すべきポートの一覧を教えていただけませんでしょうか? ※OKWaveより補足:「EPSON社製品」についての質問です。

  • サーバのIPアドレスについて

    サーバの2つの物理ポートに同一セグメントの別々のIPアドレスを設定しネットワークへ接続した場合、 ループなど不具合は発生する可能性はありますでしょうか。 接続先スイッチを含め、設定によって変わってくるなど詳細を教えて頂けないでしょうか。

  • NetScreenのIPアドレス設定について

    ご質問させていただきます。 現在、NetScreen-50の設定をしているのですが、ポート1(Trust)とポート2(Untrsut)に、同じセグメントのアドレスを割り当てようとすると、Overlapとエラーが出てしまい、割り当てられません。(お客様には、ポート1と2で同一セグメントにすると言ってしまいました・・・^^;) 例: Port1:192.168.0.1/24 Port2:192.168.0.2/24 もちろん、Catalyst等のルータは別ポートに同じセグメントのIPアドレスを割り当てられますが、NetScreen等のファイアウォールアプライアンスは違うのでしょうか? どなたか、NetScreenに ○ 別ポートに同一セグメントのIPを割り当てる方法 か、それが無理であれば ○ 別ポートを割り当てられない理由 をご教授頂けれたらと思います。 何卒よろしくお願いいたします。

  • IPアドレスについて

    オンラインゲームのPTプレイで同期ズレが起きるためポート開放したいのですがうまくいきません。windows7です。 ホームネットワーク(LAN?) パブリックネットワーク(プロバイダ?)ポート開放時はどちらのIPアドレスを入力すればいいのでしょうか?

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する