• ベストアンサー
  • 暇なときにでも

ルータが外部に通信しようとします

次のような環境で、ADSLでインターネットに接続しています。 【ルータ兼ADSLモデム】 NEC Aterm DR202C 【ルータのLAN側IPアドレス】 192.168.0.1 【PCのLAN側IPアドレス】 192.168.0.2  ※PC1台でネットに接続しています ルータのパケットフィルタリングの設定において、localhost/255.255.255.0から任意の宛先IPアドレスに対して、宛先ポートが次に該当しない場合は、通信を拒否するように設定しています。 【通信可能な宛先ポート】 20,21,53,80,110,123,443,587 ルータのログを確認したところ、次の内容がありました。 2008/01/06 10:27:50 IP_Filter REJECT TCP 192.168.0.1:22 > 190.24.145.50:44792 (IP-PORT=6) ログの内容としては、ルータ(192.168.0.1)が(190.24.145.50)のTCP44792番ポートにアクセスしようとして、パケットフィルタリングの設定により、パケットが廃棄されたものだと思います。 なぜ、ルータがこのような通信をしようとしたのか、分かりません。 ルータには時刻合わせの機能がありますが、自動設定(工場出荷時の設定により、NTPサーバに接続)ではなく、手動設定でNTPサーバを指定したため、時刻合わせで上記の通信が発生するとは考えられません。 PCのウイルスチェックを実施しましたが、感染は見つかりませんでした。 このような通信が発生した原因として考えられることを教えてください。

共感・応援の気持ちを伝えよう!

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.5
  • rinkun
  • ベストアンサー率44% (706/1571)

ANo.2です。 一般論として、TCPコネクション要求が来れば対応は受理(accept)/拒否(reject)/無視の何れかですね。無視はともかく受理/拒否ならパケットを送信することになりますが、これはTCPパケットです。 ANo.2で外部からのアクセスに対する応答ではないかと書いているのは、ローカル側(22)がwell-knownポート(ssh)で外部側(44792)が予約済みポートでもないからです。通常、TCP通信はクライアントからサーバが待機している予約済みポートにアクセスすることで開始します。同様にポートスキャンや攻撃もサーバが待機しているポートを対象に行います。このことからルータが開始した通信というより外部から開始された通信と考えるほうが自然に思います。 # ウィルス等が使用するポートの一覧も探してみましたが44792を挙げているところは見つかりません

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ご回答ありがとうございます。 やはり外部からのアクセスに要因がありそうですので、まずは、inboundに 対するフィルタリングを追加して、様子を見ることにします。

質問者からの補足

2007/1/13(質問者書き込み) ルータのパケットフィルタリングの設定において、192.168.0.1(ルータのLAN側IPアドレス)のTCP22番ポートおよびTCP135番ポートへのアクセスを遮断したところ、問題のログは出なくなりました。 代わりに、次のようなログが出るようになりました。 2008/01/13 21:07:35 IP_Filter REJECT TCP 220.66.87.8:22106 > 192.168.0.1:22 (IP-PORT=6) 2008/01/13 21:08:22 IP_Filter REJECT TCP 125.65.112.204:6000 > 192.168.0.1:135 (IP-PORT=6) 以上のことから、分かったことは、 【状況】  外部から、ルータのLAN側アドレス(192.168.0.1)の22番ポート・135番ポート  にアクセスがあり、ルータがそれに応答している。 【疑問】  (1)なぜ、外部からプライベートIPアドレスにアクセスできるのか?  (2)なぜルータは応答しているのか?(できるだけ応答しないようにしてほしい) 新たな疑問もありますが、状況は分かりました。ありがとうございました。

その他の回答 (5)

  • 回答No.6
  • rinkun
  • ベストアンサー率44% (706/1571)

ANo.5補足の疑問について。 (1)外部からのアクセスはプライベートIPアドレスに対して行われているのではなく、外側のグローバルIPアドレスに対して行われているのでしょう。 ルータの設計として外部アドレスへのアクセスが一旦内部アドレスへのアクセスにルーティングされてから受け付けられているのだと思います。 (2)これもルータの設計の問題ですね。必要なパケット以外は一切無視するのが望ましいですが、難しいのでしょうかね。

共感・感謝の気持ちを伝えよう!

  • 回答No.4
  • celtis
  • ベストアンサー率70% (2023/2875)

ルータ単独で発信するというのはあまり考えられませんが、何か気持ち悪いですね。rinkunさんがおっしゃるように、外部からの要求に答えようとしてる可能性もあります。内部から通信可能な宛先ポート(outbound)は制限されているようですが、外部から入ってくるポート(inbound)に対してどのような設定になっているのか確認してみましょう。 特に指定していなければ、そのポートに対してのアクセスは受け付けてしまいますね。ウイルスやアタックによるポートスキャンは、特に珍しくありませんし。わたしは普段使っていない時は、ルータの電源を落としています。万が一、ルータの脆弱性を突いた攻撃があったとしても、電源が入っていなければどうにもできないでしょうし。アングラサイトでは踏み台に適しているグローバルIPのリストを、共有して相互利用しているところもあるそうですから。 http://internet.watch.impress.co.jp/cda/news/2007/10/12/17167.html http://blog.japan.zdnet.com/kurei/a/000513.html http://www.itmedia.co.jp/enterprise/articles/0503/28/news010_3.html http://sv2ch.baila6.jp/chk_relay.cgi

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ご回答ありがとうございます。 リンク先のクロスサイトリクエストフォージェリという脆弱性は、初めて知りました。私も、ルータにログインした状態で、他のWEBサイトを閲覧していましたので、何らかの影響があった可能性があります。これはルータに限らず、ネットバンク等もログインした状態では、他のサイトは見ない方がいいですね。一応、Firefox+Noscriptで、極力スクリプトは起動しないようにはしていますが、許可しているサイトもありますので。 また、紹介いただいたリンク先で、ルータに割り当てられているグローバルIPをチェックしましたが、踏み台のリストにはありませんでした。 外部から入ってくるポート(inbound)に対するルータの設定は、初期設定+独自設定です。初期設定は、次のページの通りです。 http://k-net.pinky.ne.jp/ipadsl-aterm.htm 独自設定は、PCで空いているポートを塞いだりしています。 ルータのログを見ると、ルータの135番ポートから外部にアクセスして遮断されたケースもあるため、外部から135番ポートへのアクセスを遮断するフィルタ(宛先IPがAAA.BBB.0.0/255.255.0.0 で宛先ポート135を拒否する設定。AAA.BBBは、ルータに割り当てられるグローバルIP)を入れてみましたが、その後も、ルータの135番ポートから外部にアクセスして遮断されるログが出ました。前後にどんなアクセスがあったのか、単なるブロードバンドルータのため詳しいログが残らず、原因がつかめません。 ちなみに、ルータのファームウェアは最新です。ただし、ここ何度か、ファームの初期化をしています(フィルタの設定を誤ってしまい、宛先80番ポートにアクセスできなくなってしまったため)。初期化しても、ファームは最新版でした。

  • 回答No.3
  • celtis
  • ベストアンサー率70% (2023/2875)

当該IPの国別コードを見ると、ウルグアイの管轄みたいですね。 http://whois.ansi.co.jp/?key=190.24.145.50 業務に関連のある国ならともかく、一般的な使い方ではあまりアクセスするようなところでは無いと思います。そのログが記録された時間帯を集計して発生する間隔や頻度を確認し、そのタイミングで動いているプロセスをチェックしてみてはいかがでしょうか?

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ご回答ありがとうございました。 本日、PCの電源を入れていない時間帯に、同じようなログが出ていました(以下の通り)。やはり、ルータ単体で発生する現象のようです。 2008/01/07 11:27:12 IP_Filter REJECT TCP 192.168.0.1:22 > 211.53.110.157:45384 (IP-PORT=6) 2008/01/07 11:31:54 IP_Filter REJECT TCP 192.168.0.1:135 > 201.49.2.242:6000 (IP-PORT=6)

  • 回答No.2
  • rinkun
  • ベストアンサー率44% (706/1571)

前後のログやログ設定も見ないとなんともいえませんが、190.24.145.50:44792からルータにアクセスがあって、ルータが応答しようとしたがパケットフィルターで弾かれたということでは? 外部からのリクエストを何でLAN側アドレスから応答しているのかは謎ですが、ルータがそういう設計かもしれませんし。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ご回答ありがとうございました。 外部からのアクセスに対して、ルータがTCPで応答することがあるんですね。 一般的に、どのようなケースでルータが応答パケットを流すのか、説明している サイトなどありましたら、教えていただけると助かります。

  • 回答No.1

2008/01/06 10:27:50 IP_Filter REJECT TCP 192.168.0.1:22 > 190.24.145.50:44792 (IP-PORT=6) 22番のポートも44792番のポートもどちらもSSH通信をしようとしているのだと思います。 おそらくインターネットでどこかのページを見ようとした時に通信しようとしたのではないかと思われます。 該当の時間にどのページを見ていたのか調べれば何かわかりそうですね。

参考URL:
http://seifried.org/security/ports/44000/44792.html

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ご回答ありがとうございました。 上記のログが出た時点は、ホームページ閲覧は行っていませんでした。 SSH通信をしようとしたと仮定すると、ルータを第3者に遠隔操作されて いた可能があるでしょうか? 不正アクセスやウイルス等により、PCまたはルータを不正に操作されて いないか、心配しています。 ルータのデフォルトの設定により、ルータ自身へのtelnetやwebアクセス はできないようになっているのですが。

関連するQ&A

  • ルータのパケットフィルタリングについて

    お世話になります。 ルータのパケットフィルタリングについて教えてください。 『現在、Wimaxのルータ(NEC製)をPCにLANケーブルで接続し、ネット接続しています。 (WimaxのルータはADSLの一般的なルータとほぼ同じような機能を持っています。) 接続しているPCでコマンドプロンプトを開き、netstatを行ったところ、TCPの135や139や445といったポートがlisteningになっています。ルータでは特にパケットフィルタリングの設定をしていません。』 という、この場合の話なのですが、これは危ないのでしょうか? TCPの135などが危険なポートだということは理解しています。 listeningをしているということは、口をあけている状態ですのでPCが接続される状態だということもわかっています。 ですが、ルータがあるので大丈夫ではないかと思ってしまうのです。つまり、ルータのパケットフィルタリングの設定を変更して外から135等が入ってこないようにしなくてもよい気がするのですが、実際はどうなのでしょうか? やっぱり、デフォルトでlisteningしている怪しげなポートはひとつずつルータで指定して閉じないといけないのでしょうか? アドバイスをよろしくお願いします。

  • Ciscoルータでフィルタリングの設定方法をおしえてください。

    このルータは2つのLANポートを持っています。入ってくるパケットにフィルタリングをかけたいですが、設定が うまくいきません。 やりたいことは2つのマシンでソケット接続をし、TCP/IPで送受をするだけです。ただし、使用しているポートは 40071、40074です。この状況で不要なパケットにフィルタリングをしたいのです。 Q1.Ciscoのルータでは、「access-list 101 permit tcp any any eq telnet」でaccess-listを作成し、ポートに    適用することで、telnetのみ通過させるといった設定が可能ですが、この方法で上の40071と40074だけ    通過させるという設定は可能でしょうか。 Q2.逆に不要なパケットの通過を拒否する設定(例:access-list 102 deny tcp any any eq ftp)をして、ポートに   適用しました。この方法だと必要なものだけ通過すると思ったのですが、1つでも拒否の設定にすると   pingを投げたらcoreを吐いてしまいます。どうしてでしょうか。 大変困っています。おわかりの方は教えてください。 もし、上の2つ以外でも結構なのでフィルタリングのよい方法があったらおしえてください。 ようは、ルータをはさんだ2つのマシン間でpingが通り、上の2つのポートは開けておく。 この条件を満たすフィルタリング方法をおしえてください。

  • ルーターを介したTCPとUDP通信の違いについて

    端末1---(LAN側)ルーター(WAN側)---端末2 というふうに接続されていた場合を想定します。 上図で端末1がTCPセッションを端末2と張ろうとした場合(httpなど)のルーターの動きについて確認させてください。 <ルーターの動き> (1)端末1からのTCPセッション開始のパケットを受信す るとMACアドレスとIPアドレスをルーターのものにす り替え、ポート番号も変えて端末2に渡す。この時の アドレスとポート番号の対応表を記憶しておく。 (2)端末2から応答が返ってきた場合(1)で記憶した対応表 を基にパケットのMAC,IP,ポートをすり替えて端末1 に渡す。 (3)TCPのセッションが終了したら(1)で記憶した対応表は 破棄する。 とりあえずこの解釈は正しいでしょうか? なお、UDP通信の場合は(1)の対応表を全く作らないということで良いでしょうか? ご教授よろしくお願いします。

  • YAMAHAルータのフィルタ設定の読み方

    ip pp secure filter in 200 ip filter 100 pass-log 166.166.166.166 192.168.1.100 tcp 8000 * (166.166.166.166のIPアドレスは例です。) このような設定がYAMAHAのルータRT58iの設定の中にあるのですが、読み方がちゃんと理解できません。 この場合は、200番項目をWANからLAN内への通信で適用して、 166.166.166.166のグローバルIPアドレスが送信元アドレスで、送信元アドレスが宛先TCPポート8000への通信をしてきたら、LAN内の192.168.1.100のサーバの全ポートがこれに応えるという理解で良いのでしょうか?

  • 外部からのアクセス

    WindowsXPでApache(Port 10873)を立てて http://localhost:10873/ http://(ローカルネットワークのIP):10873/ では閲覧できるように設定し ルータでは(RT-200NE)で [パケットフィルター] Wan:チェック 種別:通過 送信元:* あて先:ローカルネットワークのIP プロトコル:TCP 送信元ポート:10873 を設定し [静的IPマスカレード設定]では 変換対象プロトコル:TCP 変換対象ポート:10873 あて先アドレス:ローカルネットワークのIP あて先ポート:10873 に設定し http://www.cman.jp/network/support/port.html な外部ポートチェックで開放とでているのですが いざアクセスしてみると あいていません Windowsのファイヤーウォール周りが怪しいと思うのですが eTrustを無効にしても ファイヤーウォールを無効にしても まったく見れません どなたかわかる範囲でいいですんでアドアイスよろしくお願いします。

  • VPN接続時のルータの静的ルーティングについて

    VPN接続時のルータの静的ルーティングに関して質問なんですが、少し長いのでご容赦ください。 現在下記のような環境で自宅にVPNサーバを立てています。 VPNサーバ:Mac OS X 10.10.2 (yosemite) 上にVPNActivatorを使用して構築 VPNで割り当てるIPの範囲:192.168.0.14 ~ 192.168.0.16 ルータに割り当てられているグローバルIP:xxx.xxx.xxx.xx VPNサーバに割り当てられたプライベートIP:192.168.0.10 ポート・マッピング: 変換対象のプロトコルとポート:TCP, 500 宛先アドレス:192.168.0.10 変換対象のプロトコルとポート:TCP, 1701 宛先アドレス:192.168.0.10 変換対象のプロトコルとポート:TCP, 4500 宛先アドレス:192.168.0.10 変換対象のプロトコルとポート:UDP, 1723 宛先アドレス:192.168.0.10 この状態でクライアント側でxxx.xxx.xxx.xx(グローバルIP)に対してVPN接続を試みると、 正しく接続ができ、afpやsmbを使用してVPNサーバのプライベートIP宛に接続を試みても、共有フォルダ等にアクセスができましたので問題ありません。 VPNに接続したクライアントにはプライベートIP:192.168.0.14が割り当てられました。 しかし、同じようにafpやsmbを使用してVPNサーバと同じLAN環境下にある 外付けHDDなどストレージのプライベートIP(192.168.0.2)宛に接続を試みると、タイムアウトとなり失敗してしまいます。 解消法としてルータに静的ルーティングの設定を下記のように行いました。 宛先IPアドレス: 192.168.0.0 インタフェース:ゲートウェイ ゲートウェイ: 192.168.0.10(VPNサーバのプライベートIP) すると、ストレージにも接続が可能になりました。 この原理の認識が合っているのかどうかわからなかったので質問させてください。 下記の認識であっておりますでしょうか? ■スタティック・ルーティングを指定していなかった時の現象 これは、ストレージ(プライベートIP:192.168.0.2)に対して リクエストのパケットは届いて、レスポンスのパケットをルータに返したけど、 ルータがパケットの送信元であるクライアント(192.168.0.14)の場所を知らないから、 パケットを届けられず破棄されてクライアント側はタイムアウトとなり、エラーになった ■スタティック・ルーティングを指定した場合 ストレージからルータへレスポンスのパケットが渡され、 192.168.0.14(クライアント)の場所が分からないので、 ゲートウェイに指定されている192.168.0.10(VPNサーバ)にパケットを送った。 VPNサーバは192.168.0.14(クライアント)を知っているので、 そこに送るように宛先を書き換えて再度ルータに送り返し、 ルータはクライアントにパケットを届けることができた。 もし間違っている場合は、ご指摘いただけますと幸いです。 よろしくお願いいたします。

    • ベストアンサー
    • VPN
  • ルーター配下のパソコンとネット上のサーバとの通信

    ルーターにはLANポートが複数ありそれぞれのLANポートにパソコンをつないでいます。 そのポートの1つである LANポート1につないでいるパソコンA(192.168.100.2/24)から デフォルトゲートウェイである ルーター(192.168.100.1)を経由して あるサーバー(74.125.235.95)にパケットを送り 戻りパケットがルーターからパソコンAに届くまで  について。 ルーターのIPマスカレードは  内側 192.168.100.2:4415 あて先 74.125.235.95:80 とします。 ○パソコンAからルーターまで 接続先が 192.168.100.0/24 のネットワークと異なる 74.125.235.95であることから パソコンAはデフォルトゲートウェイにパケットを送ろうとし パソコンAのデフォルトゲートウェイのIPアドレスをARPテーブルから割り出し 次にそのIPアドレスに基づいてARPテーブルからデフォルトゲートウェイのMACアドレスを割り出し そのMACアドレスを含んだMACフレームを送信する。 ルーターはMACフレーム内の送信先MACアドレスがルーター自身のMACアドレスであることから 自身で担当すべきMACフレームであると判断し、そのフレームの処理を引き受ける。 ○ルーターからパソコンAまで サーバーから戻りパケットを受け取ったルーターは、IPマスカレードに基づいて ルーターからそのパケットを送信すべき送信先のIPアドレスを 192.168.100.2 と判定する。 次に IPアドレス 192.168.100.2 に基づいてルーターのARPテーブルから MACアドレスを割り出す。 次に、そのMACアドレスに基づいて MACアドレステーブルから 送出先ポートであるLANポート1 を割り出し、LANポート1からパケットを送りだす。 ○パソコンAからルーターまで ○ルーターからパソコンAまで は上記の理解で合っていますでしょうか? 特に気になるのは、○ルーターからパソコンAまで において 送出先ポートを最終的に決めるのは IPアドレスではなく、 MACアドレステーブルが参照され、結果 MACアドレステーブルのMACアドレスによって決まるのかどうか という点です。

  • ルータPR-200NE(7.14)を利用した、FTPサーバ開設に関して

    PR-200NE(ルーター)を利用し、FTPサーバを開設したいと思い、先日から自宅で作業を行っているのですが、ローカルPCからFTPサーバに接続は行えるのですが、グローバルIPを指定して、FTPサーバに接続が出来ない状況のため、ご助言頂ければと思い、投稿させていただきました。 ---------------------------------------------------------------- *IPアドレスは仮定のものです。 クライアントPC:WindowsXP SP3 (192.168.1.21) FTPサーバ:HDL-GT(192.168.1.24) PR-200NEの設定、 パケットフィルタ設定にて 種別 送信元 宛先 プロトコル 送信元ポート 宛先ポート 方向 ----------------------------------------------------------- 通過 * 192.168.1.24/255.255.255.255 TCP ftp ftp 順方向 静的IPマスカレード設定にて 変換対象プロトコル 変換対象ポート 宛先アドレス 宛先ポート ----------------------------------------------------------- TCP ftp 192.168.1.24 ftp に設定し、その他は触ってはいないです。 HDL-GTの設定では 共有フォルダを作成し、user FTPを許可に設定してあります。 http://nai.homelinux.net/ftp_test.cgi にて、FTP接続テストを行ったところ、ちゃんとファイルが表示されたのですが、FFFTPにてWAN側IPアドレス(ルーターの現在の状況にて確認)を指定して、接続を行うと接続できませんとなってしまいます。 ご助言頂ければ幸いです。何卒宜しくお願い申し上げます。

  • 許可していないパケットにルータを超えられてしまう?

    OSはW2ksp4,パーソナルファイアウォールはoutpost free 1.0,ルータはYAMAHART54iです。 outpostにはAttack Detectionという機能があって、不正なパケットを検知してくれます。 その機能のログによると、インターネット上の別のPCからこちらのPCの3336番ポートや3239番ポートへTCPのポートスキャンを受けていました。 ログの形式は、 日付、攻撃タイプ、IPアドレス、ポートスキャンの詳細 という項目が記録されており、上記のポートスキャンについては、 攻撃タイプが「通信の要求」 IPアドレスが「スキャンをしてきた相手のアドレス」 ポートスキャンの詳細が「TCP(3336)」 などとなっています。 ルータではネット側からの通信要求はすべてルータで弾くように設定していて、 (許可していないものについては暗黙のDenyで弾かれるはずです) どうしてLAN内のPCまで上記のようなパケットが届いてしまったのか理解できません。 また、仮にルータではパケットが弾かれなかったとしても、静的NATを設定しているわけでもないのに、 どうしてLAN内の特定のPCまでパケットが届いてしまうのでしょうか? そのPCでは8080番ポートでWebサーバーを起動していて、そこへ向けて、静的NATを張っています。 ですのでAttack Detectionのログにも8080番ポートへのポートスキャンの形跡が残ることもありますが、 しかしどうしてそれ以外のポートにまでポートスキャンが及んでいるのか理解できません。 ひょっとしてルータが壊れているかどうかして静的NATで指定した以外のものもLAN内へ運んでいるのかもしれませんが、そんなことあるのでしょうか?

  • 外部公開サーバにおけるルータの設定

    外部公開サーバを構築中で外部からhttpにてサーバへアクセスさせるため、 静的IPマスカレードの設定を行ったのですが、うまくいきません。 設定を行った後に、 http://グローバルIPアドレス とPCから入力しても、ルータの管理画面が表示されてしまいます。 サーバはCentOS5.2でapacheが動作し、 LAN側のPCからブラウザでアクセスできることを確認済みです。 ルータの管理画面(PCのブラウザからアクセス)にて、 静的IPマスカレードの設定を行いました。 ルータはNTTからレンタルしているPR-200NEです。 下記の通り設定しました。 ------ エントリ番号:1(なにもなかったので) 変換対象プロトコル:TCP 変換対象ポート:www 宛先アドレス:192.168.1.101(プライベート空間におけるサーバのIPアドレス) 宛先ポート:www ------ このほかに設定する項目があるのでしょうか。 上述にもありますが、ブラウザからのアクセスで、 エラーメッセージもなくルータの管理画面が開いてしまうので、 完全にルータの設定に誤りがあると判断しているのですが・・・。 プライベート空間は下記の通りIPアドレスを振っています。 ルータ:192.168.1.1 サーバ:192.168.1.101 PC:192.168.1.3 アドバイスをいただけると幸いです。 よろしくお願いします。