- 締切済み
IPアドレスのフィルタリングについて
お世話になります。 IPアドレスのフィルタリングの考え方がわからない、または自分の認識で 正しいのか間違っているのかがわかりません。 ご教示いただければ幸いです。 説明書 IP アドレスのフィルタリング機能は、宅内ゲートウェイで設定するセキュリティ対策です。 外部 IP アドレスセグメントのすべてのポートまたは一部のポートと通信するために、イ ントラネットの IP アドレスセグメントのすべてのポートまたは一部のポートを有効/無効 にします。IP アドレスのフィルタリング設定は、イントラネット内のデバイスと外部デバ イスの間の通信を制限するために使用されます。 とあります。 まず、そういえばそもそも「IPアドレスのフィルタリング」を行う目的がわかりません。これをしたい人は、なぜするのですか? ここでは家庭内での設定を想定します。 ①イントラネットというのは、宅内LANという認識でいいでしょうか。たとえば 外部に接続しているルーターのLAN側に、父のPC、母のPC、父のスマホ、母のスマホ、息子のスマホ、娘のタブレットが接続されているとして、これらの構成を「イントラネット」と呼称する ②IPアドレスセグメントのすべてポート、または一部のポートと通信するために これがまったくもってわかりません 。 IPアドレスセグメントというのは、たとえば 同一ネットワーク上の機器は 192.168.22.1 192.168.22.2 192.168.22.3 192.168.22.4 192.168.22.5 192.168.22.6 同一ネットワーク上に置かれている、パソコンやらスマホやらタブレットやらのIPアドレスは、ともにIPアドレスのネットワーク部が同じ (この例の場合、6台のデバイスのネットワーク部が192.168.22.Xで当統一されている) ことだと認識しています。 そしてポートというのは、ルーターのWANポート、LANポート、パソコンのLANポートといった、機器についている物理的な、あの「穴」と認識しています。 そのうえで 「IPアドレスセグメントのポート」とは、いったいなんのことやら さっぱりちんぷんかんぷんなのです。 また LAN側に開始IPアドレス、終了IPアドレスというのは たとえば オ・ト・ナなイケナイ、サイト「サイト名=AAA」のデータを 父のPC=192.168.22.1と 父のスマホ=192.168.22.2 には通すけど 母(妻)のPC=192.168.22.3 母(妻)のスマホ=192.168.22.4 思春期になりかけの息子のスマホ=192.168.22.5 まだ甘えん坊の6歳の娘がよく使うタブレット=192.168.22.6 には通さないために LAN側の開始=192.168.22.3 LAN側の終了=192.168.22.6 と指定すると、この範囲のIPアドレスを持つ機器には、 といった感じでしょうか、AAAのデータが送られないようになる のでしょうか。 あるいは 「フィルタリング方法」にブラックリスト/ホワイトリストを選択するようになっているのですが 「ブラックリスト」を選択したうえで LAN側の開始IPアドレス 192.168.22.3 LAN側の終了IPアドレス 192.168.22.6 を指定すると 192.168.22.3~192.168.22.6がブラックリストであるということになるのでしょうか。 それとも反対で 192.168.22.3~192.168.22.6の範囲のデバイスには「ブラックリスト指定したアドレスとの送受信をさせない」ということなのでしょうか ⇒そうすると、そのブラックリスト指定のIPアドレスの指定をどのように行うのか、疑問です。 自分でもわかっておらず、とりとめのない文章になってしまいまして恐縮です。 こういったことについて、知識のある方のご教示をよろしくお願いいたします。
- みんなの回答 (5)
- 専門家の回答
みんなの回答
- chachaboxx
- ベストアンサー率23% (412/1777)
外部(グローバル)アドレスの話ではないでしょうか。 『外部デバイス』と書いてますし。 有害サイトをブロックするような。
- chie65536(@chie65535)
- ベストアンサー率44% (8800/19958)
>そしてポートというのは、ルーターのWANポート、LANポート、パソコンのLANポートといった、機器についている物理的な、あの「穴」と認識しています。 それも「ポート」ですが、別の意味の「ポート」もあります。 インターネットの通信方式に「TCP/IP」と言う規格(プロトコル)があります。 TCP/IPのプロトコルには「ポート」というのがあって「WEBアクセスは80番ポート」「メール送信は25番ポート」「メール受信は110番ポート」などのように「ポート番号で何のための通信なのか判断している」のです。 特定のIPアドレスに対し「このポートは遮断」とか設定すると、設定したIPアドレスで、特定の通信が出来なくなります。 例えば「このPCではメール受信は出来るがメール送信はさせない」とか、設定できます。 例えば「WEBアクセスとメール送受信だけ通過させる」とかすれば、オンラインネットゲームを遊べなくする事が出来ます(ブラウザ版のゲームは遊べる)
だいたい概要はあってます WEBサイトの閲覧は許すけどメールは使わせない とか 特定のメールサーバしか使わせない とか お父さんは全部使える、子供はメールだけ使える とかのために使います
- t_ohta
- ベストアンサー率38% (5292/13826)
説明書のイントラネットとは宅内LANの事です。 ポートというのはルータの物理ポートの事ではなく、TCP/IPで使われる通信ポート番号の事で、パソコンやスマホの中で複数のアプリケーションが動作し通信していますが、IPアドレスは一つしかないので相手から届いたデータがどのアプリ宛なのかはIPアドレスだけでは判別できません。 その為、TCP/IPでは各アプリケーションに対して別々のポート番号を割り当てて、ポート番号によってどのアプリケーションの通信データなのか識別するようになっています。 このポート番号は代表的なアプリケーションに対しては予め決められた番号が割り当てられていて、HTTPサーバは80番とかSMTPサーバは25番といった感じで割り当てられているので、特定の機器からはHTTPサーバへ通信できないようにとか制限が掛けられます。 その機器のフィルタリング設定がどうなっているか判りませんが、例えばIPアドレスを固定設定するNASなどのサーバ類をセキュリティのため外部と通信させないようにするため、192.168.22.100~150 は外部との通信を遮断すると言った制限を設けると言った使い方のための機能として用意されているのだと思います。
- sknbsknb2
- ベストアンサー率38% (1158/3037)
とりあえず説明してみますので、わからないことは補足で質問してください。 まず、宅内ゲートウェイというのは、家庭の場合はルータのことです。 IPアドレスセグメントというのは、今回の場合はルータに接続された「LAN側」と解釈すれば良いと思います。 そしてIPアドレスフィルタリングは、WAN側からLAN側に接続しようとするWAN側のIPアドレスに対して、ルータの設定で接続可/不可を選択する機能であって、LAN内のPC同士の通信を制御するわけではありません。 例えば、あなたの家のLAN内のPCに対して攻撃してくるIPアドレスがわかっているなら、そのIPアドレスからの接続を拒否する設定にすれば、LAN内のPCに攻撃は届かないというわけです。 次にポートですが、これは物理的なLANポートとかのことではなく、通信に使う窓のようなもので、WAN-LAN間の通信に必要な窓を開け、そうでない窓はセキュリティアップのために閉じておくというように使われます。 ポートを開けるか閉じるかはルータで設定しますが、例えばブラウザで通常使われるHTTPという通信手順規格(プロトコル)は、ポート80を使うようになっているので、これを閉じてしまうとブラウザから外部のサーバに接続できなくなってしまいます。 ポートの番号は、0から65535まであって、悪意のあるプログラムは開いていそうなポートから攻撃してくるので、必要なポート以外は閉じておいたり、ポート80は閉じておいて、別のポート番号で通信できるようにブラウザ設定を変えたりということをします。