• ベストアンサー

VPN以外の通信を全て遮断するには

ExpressVPNというサービスを契約しているのですが、ルータ側の設定で特定の、一個のVPNサーバーのアドレスを許可して、他のアドレスからのパケットは一切遮断するということはできるでしょうか?この方法であれば、海外のボットPCからの不正アクセスの脅威を軽減できるのではと思っているのですが・・・いかんせん初心者なので、この方法が効果的であるかわからず・・・よろしくお願いいたします。

質問者が選んだベストアンサー

  • ベストアンサー
  • tmys10
  • ベストアンサー率36% (338/930)
回答No.3

> 8.8.8.8だけとか1.1.1.1といったアドレスのサーバのみ53番のやり取りを許可、でいけないでしょうか? 私はVPNを使った事がないのでわからないのですが、フィルタはVPNに限らずアプリケーションが使用するプロトコルを踏まえて設定する必要はあるでしょう。 # 答えになっていなくてすみません。 # VPNは交換回線で秘匿性の高い通信を行うための方法です。ポートスキャンに対抗するためにVPNというのはおかしな感じがします。VPNでポートスキャンが防げるのは、NAPTで防げるのと同じ理屈なのではないでしょうか。NAPTなら普通のルータで有効にセットされています。ポートスキャンへの対抗措置は本来はフィルタなのだと思います。

xdfsa11a
質問者

お礼

お礼コメント遅れてすみません。基本的に外部からの着信接続、インバウンド攻撃はルータが弾いてくれると思うのですが、DNSの要求をルータが発信した時に詐称されたパケットがやってきて、Google.co.jpにアクセスしたつもりが、まんまそっくりのマルウェアサイトに飛ばされたりしないか、というあたりが心配ではあります。 そのあたりもうちょっと勉強していこうと思います。回答ありがとうございました!

その他の回答 (2)

  • tmys10
  • ベストアンサー率36% (338/930)
回答No.2

> ルータ側の設定で特定の、一個のVPNサーバーのアドレスを許可して、他のアドレスからのパケットは一切遮断するということはできるでしょうか? ルータの説明書でフィルタの設定方法を読んでみてください。特定のアドレスからのパケットだけを通す設定や特定のアドレスへのパケットだけを通す設定はよくあります。 # フィルタをかけるとVPNサーバを見つけられず使えないような? # NAPTやSPIを使うと着信接続ができないので外部からの攻撃には有効です。

xdfsa11a
質問者

お礼

回答ありがとうございます。PFSenseを以前に使っていたので、また再利用したら取り組んでみようと思います。フィルタを掛けるとVPNサーバが見つけられない?とのことですが、53番ポートで激しくDNSパケットのやり取りができなくなるからでしょうか・・・?その場合、8.8.8.8だけとか1.1.1.1といったアドレスのサーバのみ53番のやり取りを許可、でいけないでしょうか?

回答No.1

  VPNを使えばインターネットから見ると貴方のパソコンはVPNサーバーが持つIPアドレスになる。 つまり貴方のパソコンのIPアドレスに向かっての攻撃は不可能です。  

xdfsa11a
質問者

お礼

回答ありがとうございます。おっしゃる通りだと思います。あとは、どうやってVPNサーバのアドレス以外からの/への接続を遮断できるかですね。。。そこをどうやってやればいいのか、いまいちわかっていないところです。

  1. カテゴリ
  2. インターネット・Webサービス
  3. セキュリティ対策・ネットトラブル
  4. その他(セキュリティ対策・ネットトラブル)

関連するQ&A

  • ルータがVPN以外の通信を全て遮断するようにしたい

    とある匿名掲示板にあったのですが、日々ルータにはTCPやUDPのパケットが投げられていて、ルータをすり抜けて配下のデバイスに届いているらしく、こととタイミング次第によっては侵入も許していることもあるようです。 そこで、ルータの方でVPNによる通信をするよう設定してしまい、VPNに関わるポートだけを限定的に許可し、それ以外のポートは明示的にDenyにしたら、80/443/53(DNSが一番危険なのではと思っています)の通信はシャットダウンできてセキュリティが向上するのではないかと思うのですが、そのような方法を解説しているサイトなどありませんでしょうか?

  • VPNクライアントのアクセス制限

    ネットワークにあまり詳しくないため、教えてください。 自宅内LANに外部からVPNでアクセスできるようにしたいと考えています。 物理的には回線→ルータ→HUB→VPNサーバ/および、自宅内LANという形になると思います。 この際にルータでパケットフィルタを設定すれば、VPN経由からの特定の端末へのアクセスも制限できるのでしょうか? 例えば、外部からのVPNクライアントには192.168.0.100~110のIPを与えるとして、このIPから192.168.0.10にアクセスさせないというように設定したいのですが。

  • WAN側からの偽装アドレスを拒否

    WAN側からのプライベートアドレスやループバックアドレス等を偽装したパケットをルーターのフィルタで拒否する設定方法を教えてほしいです。 WAN側からのアクセスだけでなく外に出ていくパケットも遮断したいのですが上手くいきません。 ルーターはAtermのWD701CVでアドレスは192.168.0.1に設定しています。 10.0.0.0/8**** 172.16.0.0/12**** 192.168.0.0/24**** 127.0.0.1**** これらのアドレスを拒否すれば良いというのは分かるのですが、外に出るパケットを遮断すると接続に不具合が出ました。 いくつかのアドレスは両方向で遮断しても問題はありませんでしたが 172.16.0.0/12**** 192.168.0.0/24**** このどちらかを両方向で遮断するとネットすら接続できなくなってしまいました。これとは別に特定のパケットを許可する設定も必要なのでしょうか? どなたか教えてください。

  • VPNについて調べています

    インターネット上に仮想の専用線を設定し、特定の人のみが利用できる専用ネットワークということで、概要はわかりました。 しかし、調べてもわからないことがあるので教えて下さい。 マンションやアパートなどの集合住宅から、VPNを使ってインターネット上の特定のサイトやサーバにアクセスした場合ですが、 仮想の専用線のため、基本的に外部の者がVPNを経由した通信を覗き見ることはできないでしょう。 それでは、 (1)回線を提供している業者(プロバイダ等)は、全て見ることができるのでしょうか? (2)X号室のルータからVPNに接続している経路まではわかる?それとも、VPNサーバから更に先もわかる?

    • 締切済み
    • VPN
  • VPNについて

    VPN初心者です。サーバとクライアントにはwin2kproを使用しておりまして、サーバとクライアントのVPN設定をしてウイルスバスター2004のポートをTCP1723とUDP500開けてVPNを使用しようと考えていたのですが、つながりません。動的IPだったので無料のダイナミックDNSを使用したのですがやはりつながりませんでした。やはりルータを入れないとVPNはできないのでしょうか?本に書いてあったのですがGREパケットの問題なのでしょうか?FWでだけでルータが無くても大丈夫かな?と今まで考えておりました。 申し訳ありませんがよろしくお願いいたします。

  • VPN接続時のルータの静的ルーティングについて

    VPN接続時のルータの静的ルーティングに関して質問なんですが、少し長いのでご容赦ください。 現在下記のような環境で自宅にVPNサーバを立てています。 VPNサーバ:Mac OS X 10.10.2 (yosemite) 上にVPNActivatorを使用して構築 VPNで割り当てるIPの範囲:192.168.0.14 ~ 192.168.0.16 ルータに割り当てられているグローバルIP:xxx.xxx.xxx.xx VPNサーバに割り当てられたプライベートIP:192.168.0.10 ポート・マッピング: 変換対象のプロトコルとポート:TCP, 500 宛先アドレス:192.168.0.10 変換対象のプロトコルとポート:TCP, 1701 宛先アドレス:192.168.0.10 変換対象のプロトコルとポート:TCP, 4500 宛先アドレス:192.168.0.10 変換対象のプロトコルとポート:UDP, 1723 宛先アドレス:192.168.0.10 この状態でクライアント側でxxx.xxx.xxx.xx(グローバルIP)に対してVPN接続を試みると、 正しく接続ができ、afpやsmbを使用してVPNサーバのプライベートIP宛に接続を試みても、共有フォルダ等にアクセスができましたので問題ありません。 VPNに接続したクライアントにはプライベートIP:192.168.0.14が割り当てられました。 しかし、同じようにafpやsmbを使用してVPNサーバと同じLAN環境下にある 外付けHDDなどストレージのプライベートIP(192.168.0.2)宛に接続を試みると、タイムアウトとなり失敗してしまいます。 解消法としてルータに静的ルーティングの設定を下記のように行いました。 宛先IPアドレス: 192.168.0.0 インタフェース:ゲートウェイ ゲートウェイ: 192.168.0.10(VPNサーバのプライベートIP) すると、ストレージにも接続が可能になりました。 この原理の認識が合っているのかどうかわからなかったので質問させてください。 下記の認識であっておりますでしょうか? ■スタティック・ルーティングを指定していなかった時の現象 これは、ストレージ(プライベートIP:192.168.0.2)に対して リクエストのパケットは届いて、レスポンスのパケットをルータに返したけど、 ルータがパケットの送信元であるクライアント(192.168.0.14)の場所を知らないから、 パケットを届けられず破棄されてクライアント側はタイムアウトとなり、エラーになった ■スタティック・ルーティングを指定した場合 ストレージからルータへレスポンスのパケットが渡され、 192.168.0.14(クライアント)の場所が分からないので、 ゲートウェイに指定されている192.168.0.10(VPNサーバ)にパケットを送った。 VPNサーバは192.168.0.14(クライアント)を知っているので、 そこに送るように宛先を書き換えて再度ルータに送り返し、 ルータはクライアントにパケットを届けることができた。 もし間違っている場合は、ご指摘いただけますと幸いです。 よろしくお願いいたします。

    • ベストアンサー
    • VPN
  • VPN接続でPPTPサーバー以外との通信ができない

    ドメイン環境の職場へVPN接続をして通信したいのですがなかなかうまくいかないので質問です。 職場のネットワーク上にはWindows Server2008 があり、 このサーバーでVPN認証を行い(PPTP)自宅のパソコンから通信しています。 VPN自体はうまく接続でき、サーバーまでは無事通信できています。 しかし、サーバー以外のパソコンにはまったく通信できません。Pingも通りませんし、ログも残りません。 なので現在は自宅PCから一度サーバーへリモートデスクトップし、 さらにそのサーバーからリモートデスクトップで各パソコンに接続している状況です。 Pingも通らずログも残らないので行き詰っています。 何かしら考えられる原因でも教えていただければと思います。 (環境) 自宅は普通にパソコンとルーターだけです。 PC:Windows7 Pro(64bit)、XP pro(32bit) ※職場ドメインには参加していません。 職場側のネットワーク ルーター:コレガの普通のルーターです。 ※DHCPサーバーはルーターが行っています。 VPNサーバー Windows Server2008 ※ドメインコントローラー、DNSサーバー、ファイルサーバー、VPNサーバー機能  LANポートは1つです。  VPN接続に対してIPアドレスを払い出すように設定しています。 クライアント:Windows7、XPなど 以上です。よろしくお願い致します。

  • ルータ下の異なるネットワークアドレス間の通信を遮断する方法は?

    同じサブネットを持つ2つの端末(A,B)をブロードバンドルータに接続し、それぞれ次のIPアドレスを割当てるとします。    インターネット      | (この間にADSLブリッジモデムが入る場合もある) 端末A--ルータ--端末B (A)192.168.1.10/24 (B)192.168.2.20/24 端末A,Bともインターネットへのアクセス(同時)は可能で、端末A⇔B間の通信を全て遮断したいと考えています。 ルータではなく、スイッチであれば端末A⇔B間はネットワークアドレスが異なるため通信できないと思いますが、インターネットへの同時アクセスのため、ルータにしています。 しかしルータの場合、端末A⇔B間の通信を取り持つため、このままでは通信を遮断できないと考えます。 このとき、端末A⇔B間の通信を遮断するためにはどのようにすれば良いのでしょうか?ルータへのパケットフィルタ設定で遮断可能でしょうか? ご教示いただければと思います。よろしくお願いします。

  • VPN接続について

    1. IP-Secなどで拠点間のルータ同士を接続する場合、ルータ同士でクライアント⇔サーバという関係はありますか?(アドレスなど以外に各ルータで設定差異があるのか?) 2. また、上記のようにIP-SecでVPN接続しているルータに対し、自宅のPCなどからVPNクライアントを使って接続することはで可能でしょうか?(たぶん可能だと思うのですが、接続対象のアドレスとかは許可するとして、[ルータ⇔ルータ]用の設定と[VPNクライアント⇔ルータ]用の設定は別途で指定しないといけないのか?設定方法が違うのか?) 3. あと、VPNクライアントを使ってPCを接続する場合、設定により常時接続は可能となるのでしょうか?(グローバルIPを直で持つPCに拠点内から接続できるようにしたい) 機器にって異なるかもしれませんし、質問自体がすごくざっくりで申し訳ないのですが、わかる範囲でご教授頂けると幸いです。

  • 初めてのVPN導入

    インターネットVPNの利用を検討している者です。 下図のようにルータを2台利用してDMZ環境を 構築しています。 [ インターネット ]---[ ルータA ]---------[ ルータB ]---[ LAN ]                       |                        L---[ DMZ ] ルータB に Planex BRC-W14V[ VPNゲートウェイ ] を 用意しています。 ルータA でVPNのパケットを遮断させずに通信させたい のですが、これってルータの説明に書かれている 「VPNパススルー」機能があればいいのでしょか? ご存知の方、既にこの環境で構築されている方が いましたら、教えてください。 よろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する