- 締切済み
ファイアーウォールでルータ経由以外のアクセスを禁止
ルータ以外からのアクセスを禁止するようにファイアーウォールで設定したいのですが、ファイアーウォールのネットワークのルールの設定で、ルータのアドレス(192.168.0.1)以外をブロックするように設定すると、すべてのアクセスが閉じられてしまいます。 しかし、IPマスクを上記アドレスに設定するとWEBブラウザなどが機能し外部にアクセスできます。これは、ファイアウォールが192.168.0.1をグローバルIPと認識するためだと思うのですが、IPマスクというのはローカルのアドレスだと認識させるためのものなのでしょうか? ソフトはコモドというものを使用しています。フリーソフトなのに詳細にわたって設定できるのでゾーンアラームよりも便利なのですが、インターフェイスが英語なので少し戸惑うことが多いです。 現在ネットワーク上に自分でコントロールできるPCが一台しかないため、他のマシンからのアクセスをブロックできているかの確認ができないので少し不安に思っています。 どうぞよろしくおねがいいたします。
- みんなの回答 (5)
- 専門家の回答
みんなの回答
- o_tooru
- ベストアンサー率37% (915/2412)
こんばんは、疑問はつきませんね。 さてご質問の件ですが、少し確認したいことがあります。 >ソフトはコモド とファイアーウォールのソフトを使っていらっしゃるようですが。 そのソフトをインストールしたPCをネットワーク上のどこにおいていらっしゃいますか? また、どの様なネットワークの構成にしようと考えていらっしゃいますか? たんなるパーソナルファイアウォールのソフトのような気がしますが?
- kusa_mochi
- ベストアンサー率76% (1597/2087)
情報が少ないので推測になるのだが、そのファイアウォールの設定画面はちゃんとinbound(自PC以外→自PC)の通信に関する設定画面だろうか? (若しくはinboundとoutboundの両方) 又は設定の仕方が間違っているとか。 (例えば、その画面の設定は特定のプロトコルに対するものとか) これ以上は、何と言うファイアウォールを使っていてどの設定画面でどのような設定をしようとしている等の詳しい情報がないとフォロー出来ないと思う。
お礼
ソフトはcomodoです。ZAから乗り換えたのですが、何かと詳細にわたって設定できるので気に入っています。 ルータ192.168.1.1以外のトラフィックを完全に遮断したいのですが、どのような設定をすれば良いかわからずに困っています。
- Fushino
- ベストアンサー率59% (329/550)
一般的にルータ自体からアクセスが来るということは考えにくいのでルータからのアクセスだけを許可するという目的が不明です。 ルータの先(別ネットやインターネット)とのアクセスに関しては個々のアドレスに対して設定する必要があり、ルータのアドレスを設定しても無意味ですがそのあたりを誤解されていませんでしょうか。 また、#2さんのお礼欄の内容についてですが、どういう設定をした時にどこにアクセスできる(できない)のかが不明確ですので補足していただけないでしょうか。 (例えばローカルIPをすべてブロックしてもグローバルIP(インターネット)へのアクセスは可能ですし、そのルールを反転(Exclude)するとインターネットへのアクセスは禁止されます。)
お礼
>一般的にルータ自体からアクセスが来るということは考えにくいのでルータからのアクセスだけを許可するという目的が不明です。 同じローカルネットワーク上にある他のマシンからのアクセスをブロックしたいと思っています。 >ルータの先(別ネットやインターネット)とのアクセスに関しては個々のアドレスに対して設定する必要があり、ルータのアドレスを設定しても無意味ですがそのあたりを誤解されていませんでしょうか。 たぶん、ご指摘のとおりだと思います。しかし、それではファイアーウォールはどのようにしてローカルIPとグローバルIPの区別をつけるのかが疑問がのこります。 例えば、192.168.0.1をwhoisで検索すると、グローバルIPアドレスではIANAの所属になっていますが、それではローカルのルータをIPで指定したい場合はダブってしまいますが、普通はどのような仕組みになっているのでしょうか?トラフィックを許可する設定でIPを指定する場合はローカルのIPを直接指定しますが、この違いがよく判らなくてつまずいています。 >どういう設定をした時にどこにアクセスできる(できない)のかが不明確ですので補足していただけないでしょうか。 以下(URLの画像)の設定ではアクセスできてしまいます。しかし、Exclude(i.c NOT the choice below)のチェックを入れるとブラウザでページの読み込みができなくなります。チェックはONでもOFFでもルータ(この場合192.168.1.1)にpingはできました。 普通に考えると、指定したルータのソースIPを経由したトラフィック,TCP/UDP IN/OUTはチェックをしない場合にブロックされると思うのですが、その辺りがいまいち理解できずに困っています。
- kusa_mochi
- ベストアンサー率76% (1597/2087)
状況が良く見えないのだが、 ・個人宅ではなく会社のネットワーク ・同一セグメント内にある部下・同僚・上司のPCから自分のPCに対してのアクセスをファイアウォールでブロックしたい という事なのだろうか? もしもそうなら、ルータと自PCを除く同一セグメント内のIPアドレスをレンジ指定で禁止すればよいのではないかと思うが。 (例:192.168.0.2 ~ 192.168.0.100 ← 自分のIPアドレスが含まれないように注意してね)
お礼
>という事なのだろうか? はい、そのとおりです。 ブロッキングルールを、IPレンジのところで 192.168.0.1 ~ 192.168.0.100 という風にルータのアドレスと含めてもアクセスができるのですがどうしたものでしょうか? 試しに、ブロッキングルールのシングルIPでルータのアドレスを入れましたが、どうもアクセスができてしまいます。ところが、Exclude(not the choose below) のチェックを入れると逆にアクセスができなくなります。 設定方法がよくわからないのですが、普通に考えて禁止するIPのところで指定IPを入れるとそのIPとのアクセスができなくなると思うのですがちがうのでしょうか?
- mtfoggy
- ベストアンサー率14% (37/255)
>ルータのアドレス(192.168.0.1)以外をブロックするように設定すると、 >すべてのアクセスが閉じられてしまいます。 当然です。 ほとんど全ての送信元からのパケットをブロックしているのですから。
お礼
ブロッキングルールのところで、ソースIPのところで、6つのオプションがあり、Any、シングルIP、IPレンジ、IPマスク、ゾーン、ホストネーム、となっています。 ここで、シングルIPではなく、IPマスクにルータを選択すると、IPとマスクの二つのIPアドレスを入力するフォームが表示されるのですが、ここにルータのIPを入力すればよいのでしょうか?
お礼
>そのソフトをインストールしたPCをネットワーク上のどこにおいていらっしゃいますか? IPレンジが192.168.1.100 - 192.168.1.148、ルータが192.168.1.1、サブネットが255.255.255.0のローカルネットワーク上に、自分のIPが自動的に取得されます。現在は下三桁が102になっています。 >また、どの様なネットワークの構成にしようと考えていらっしゃいますか? とくにこだわりはありません。他のPCとのトラフィックをできるだけきちんと管理できれば、と思っています。 >たんなるパーソナルファイアウォールのソフトのような気がしますが? ご指摘のとおりです。 よろしくお願いいたします。