作成日:2006年04月23日、更新日:2006年04月23日 作成:鷹の巣

SPI未使用時の自宅サーバー用NTT加入者網終端装置(CTU)のファイアウォール設定の内容を紹介します。


自宅サーバー用CTUの設定例(SPI未使用時)

フレッツ光プレミアムファミリータイプに使用しているNTT加入者網終端装置(CTU)のファイアウォール設定の内容を紹介します。 ファイアウォール簡単設定の「高」と「中」と「低」では、WAN側(外部)から1023番以下のポート番号を利用する通信の要求があった場合は、 しゃ断されますので、自宅サーバーを公開できません。また、「制限なし」と設定する訳にはいけませんので、 ファイアウォール詳細設定を行います。この頁では、自宅サーバー用途の設定内容を示します。

NTT西日本IPカスタマサポートより下記のご回答を頂いておりますので、これを前提に設定を行います。

○FIREWALL詳細設定でICMPプロトコルの拒否設定していても、PINGに応答する。
フィルタリング設定はCTUを通過するパケットに対して適用される。グローバルIPアドレスはCTUのWAN側についており、そのアドレスへのpingはCTUを通過しないためフィルタリングされない。
○SPI機能OFF時のLAN内からのアクセス出来ない。
SPI機能OFF時にFIREWALL機能が設定されていると、インターネット側からの帰りパケットに対してFIREWALLを通過させる設定が必要。
○SPI機能ON時はFIREWALL機能とは無関係にLAN内を起点とする応答パケットを全て通過させると解釈しても良いか。
基本的にはそのように動く。
○SPI機能OFF時フィルタリング設定を何も書いてない場合の挙動は?
FIREWALL設定(詳細設定)は、設定画面上は表記されていないが、初期設定で「WAN-LAN方向は全て遮断」「LAN-WAN方向は全て通過」である。

CTU設定

TOP>ファイアウォール設定 >ファイアウォール詳細設定

ファイアウォール詳細設定

●共通設定
SPIの設定項目 機能の使用 使用しない
TCPタイムアウト(秒) 3600
ICMPタイムアウト(秒) 60
●ルール設定
主なルールの説明
 0番台:PING無応答設定 注)
10番台:(必須の設定)LAN内ファイル共有への防護設定
20番台:(必須の設定)IP Spoofing対策、LAN内プライベートアドレスの流出防止
30番台:同上
40番台:フレッツ光プレミアムでのテレビ電話機能を使用可能にする設定
50番台:自宅サーバー公開のための設定
60番台:基底の設定(ルールにない場合の許可および拒否設定)

注)NTT西日本IPカスタマサポートより、「FIREWALL詳細設定でICMPプロトコルの拒否設定していても、PINGに応答する。」という質問に対して、 「フィルタリング設定はCTUを通過するパケットに対して適用される。グローバルIPアドレスはCTUのWAN側についており、そのアドレスへのpingはCTUを通過しないためフィルタリングされない。」という回答を得ているので、設定してもPINGに応答します。

新しいルールの追加 : ルール番号
1 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
拒否
全接続先
IPv4・IPv6
WAN→LAN
ICMP
指定しない
any any
送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス すべてのポート すべてのアドレス すべてのポート
ログ保存 メモ
保存しない
PING他を無応答に。
2 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
拒否
全接続先
IPv4・IPv6
WAN→LAN
ICMPv6
指定しない
any any
送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス すべてのポート すべてのアドレス すべてのポート
ログ保存 メモ
保存しない
PING他を無応答に。
10 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
拒否
全接続先
IPv4・IPv6
WAN→LAN
TCP
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス すべてのポート すべてのアドレス 135
~139
ログ保存 メモ
保存しない
WAN側WinLAN内ファイル共有の遮断
11 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
拒否
全接続先
IPv4・IPv6
LAN→WAN
TCP
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス 135
~139
すべてのアドレス すべてのポート
ログ保存 メモ
保存しない
WAN側WinLAN内ファイル共有の遮断
12 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
拒否
全接続先
IPv4・IPv6
WAN→LAN
TCP
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス すべてのポート すべてのアドレス 201
~208
ログ保存 メモ
保存しない
WAN側LAN内AppleTalkの遮断
13 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
拒否
全接続先
IPv4・IPv6
LAN→WAN
TCP
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス 201
~208
すべてのアドレス すべてのポート
ログ保存 メモ
保存しない
WAN側LAN内AppleTalkの遮断
14 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
拒否
全接続先
IPv4・IPv6
WAN→LAN
TCP
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス すべてのポート すべてのアドレス 445
~445
ログ保存 メモ
保存しない
WAN側WinLAN内ファイル認証の遮断
15 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
拒否
全接続先
IPv4・IPv6
LAN→WAN
TCP
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス 445
~445
すべてのアドレス すべてのポート
ログ保存 メモ
保存しない
WAN側WinLAN内ファイル認証の遮断
20 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
拒否
接続先1
IPv4
WAN→LAN
すべての
プロトコル
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
10.0.0.0
~10.255.255.255
すべてのポート すべてのアドレス すべてのポート
ログ保存 メモ
保存しない
WAN側A級プライベートアドレスの遮断
21 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
拒否
接続先1
IPv4
LAN→WAN
すべての
プロトコル
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス すべてのポート 10.0.0.0
~10.255.255.255
すべてのポート
ログ保存 メモ
保存しない
WAN側A級プライベートアドレスの遮断
22 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
拒否
全接続先
IPv4
WAN→LAN
すべての
プロトコル
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
172.16.0.0
~172.31.255.255
すべてのポート すべてのアドレス すべてのポート
ログ保存 メモ
保存しない
WAN側B級プライベートアドレスの遮断
23 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
拒否
全接続先
IPv4
LAN→WAN
すべての
プロトコル
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス すべてのポート 172.16.0.0
~172.31.255.255
すべてのポート
ログ保存 メモ
保存しない
WAN側B級プライベートアドレスの遮断
24 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
拒否
全接続先
IPv4
WAN→LAN
すべての
プロトコル
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
192.168.0.0
~192.168.255.255
すべてのポート すべてのアドレス すべてのポート
ログ保存 メモ
保存しない
WAN側C級プライベートアドレスの遮断
25 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
拒否
全接続先
IPv4
LAN→WAN
すべての
プロトコル
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス すべてのポート 192.168.0.0
~192.168.255.255
すべてのポート
ログ保存 メモ
保存しない
WAN側C級プライベートアドレスの遮断
26 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
拒否
全接続先
IPv4
WAN→LAN
すべての
プロトコル
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
127.0.0.0
~127.255.255.255
すべてのポート すべてのアドレス すべてのポート
ログ保存 メモ
保存しない
WAN側自己診断用IPアドレスの遮断
27 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
拒否
全接続先
IPv4
LAN→WAN
すべての
プロトコル
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス すべてのポート 127.0.0.0
~127.255.255.255
すべてのポート
ログ保存 メモ
保存しない
WAN側自己診断用IPアドレスの遮断
28 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
拒否
全接続先
IPv6
WAN→LAN
すべての
プロトコル
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
FE::
~FE:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF
すべてのポート すべてのアドレス すべてのポート
ログ保存 メモ
保存しない
WAN側リンクローカルアドレスの遮断
29 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
拒否
全接続先
IPv6
LAN→WAN
すべての
プロトコル
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス すべてのポート FE::
~FE:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF
すべてのポート
ログ保存 メモ
保存しない
WAN側リンクローカルアドレスの遮断
30 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
拒否
全接続先
IPv4
WAN→LAN
すべての
プロトコル
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
203.212.55.105
~203.212.55.105
※自己のグローバルアドレスを記入のこと。
(非固定IPアドレスの場合は、設定しないこと。)
すべてのポート すべてのアドレス
すべてのポート
ログ保存 メモ
保存しない
自己IPアドレスよりの偽装パケットの遮断
41 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
許可
IPv6
IPv6
WAN→LAN
UDP
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス 16384
~16403
すべてのアドレス 16384
~16403
ログ保存 メモ
保存しない
テレビ電話機能1を使用
42 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
許可
IPv6
IPv6
WAN→LAN
UDP
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス 16484
~16503
すべてのアドレス 16484
~16503
ログ保存 メモ
保存しない
テレビ電話機能2を使用
43 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
許可
IPv6
IPv6
WAN→LAN
TCP
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス 1024
~65535
すべてのアドレス 10000
~10009
ログ保存 メモ
保存しない
テレビ電話機能3を使用
44 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
許可
IPv6
IPv6
WAN→LAN
UDP
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス 32768
~65535
すべてのアドレス 35060
~35064
ログ保存 メモ
保存しない
テレビ電話機能4を使用
45 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
許可
IPv6
IPv6
WAN→LAN
UDP
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス 32768
~65535
すべてのアドレス 35050
~35054
ログ保存 メモ
保存しない
テレビ電話機能5を使用
46 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
許可
IPv6
IPv6
WAN→LAN
UDP
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス 32768
~65535
すべてのアドレス 17000
~17009
ログ保存 メモ
保存しない
テレビ電話機能6を使用
47 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
許可
全接続先
IPv4・IPv6
WAN→LAN
UDP
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス 5060
~5060
すべてのアドレス 5060
~5060
ログ保存 メモ
保存しない
050のIP電話のSIPサーバー通信用
50 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
許可
全接続先
IPv4・IPv6
WAN→LAN
TCP
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス すべてのポート すべてのアドレス 80
~80
ログ保存 メモ
保存しない
WWWサーバーを公開
51 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
許可
全接続先
IPv4・IPv6
WAN→LAN
TCP
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス すべてのポート すべてのアドレス 25
~25
ログ保存 メモ
保存しない
SMTPサーバーを公開
52 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
許可
全接続先
IPv4・IPv6
WAN→LAN
TCP
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス すべてのポート すべてのアドレス 53
~53
ログ保存 メモ
保存しない
DNSサーバーのセカンダリへのゾーン転送
53 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
許可
全接続先
IPv4・IPv6
WAN→LAN
UDP
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス すべてのポート すべてのアドレス 53
~53
ログ保存 メモ
保存しない
DNSサーバーを公開
54 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
許可
全接続先
IPv4・IPv6
WAN→LAN
TCP
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス すべてのポート すべてのアドレス 21
~21
ログ保存 メモ
保存しない
FTPサーバーを公開
60 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
許可
全接続先
IPv4・IPv6
WAN→LAN
すべての
プロトコル
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス すべてのポート すべてのアドレス 1024
~65535
ログ保存 メモ
保存しない
Well-knownポート以外へのパケット通過
61 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
拒否
全接続先
IPv4・IPv6
WAN→LAN
すべての
プロトコル
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス すべてのポート すべてのアドレス すべてのポート
ログ保存 メモ
保存しない
起点がWANの全パケットの遮断
62 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/ICMPv6
タイプ
ICMP/ICMPv6
コード
許可
全接続先
IPv4・IPv6
LAN→WAN
すべての
プロトコル
指定しない


送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
すべてのアドレス すべてのポート すべてのアドレス すべてのポート
ログ保存 メモ
保存しない
起点がLANの全パケットの通過

参考URL:ADSL Routerの設定