作成日:2006年03月22日、更新日:2006年04月23日 作成:鷹の巣

SPI使用時の自宅サーバー用NTT加入者網終端装置(CTU)のファイアウォール設定の内容を紹介します。


自宅サーバー用CTUの設定例(SPI使用時編集版)

フレッツ光プレミアムファミリータイプに使用しているNTT加入者網終端装置(CTU)のファイアウォール設定の内容を紹介します。 ファイアウォール簡単設定の「高」と「中」と「低」では、WAN側(外部)から1023番以下のポート番号を利用する通信の要求があった場合は、 しゃ断されますので、自宅サーバーを公開できません。また、「制限なし」と設定する訳にはいけませんので、 ファイアウォール詳細設定を行います。この頁では、自宅サーバー用途の設定内容を示します。

NTT西日本IPカスタマサポートより下記のご回答を頂いておりますので、これを前提に設定を行います。(2006.04.23追記)

○FIREWALL詳細設定でICMPプロトコルの拒否設定していても、PINGに応答する。
フィルタリング設定はCTUを通過するパケットに対して適用される。グローバルIPアドレスはCTUのWAN側についており、そのアドレスへのpingはCTUを通過しないためフィルタリングされない。
○SPI機能OFF時のLAN内からのアクセス出来ない。
SPI機能OFF時にFIREWALL機能が設定されていると、インターネット側からの帰りパケットに対してFIREWALLを通過させる設定が必要。
○SPI機能ON時はFIREWALL機能とは無関係にLAN内を起点とする応答パケットを全て通過させると解釈しても良いか。
基本的にはそのように動く。
○SPI機能OFF時フィルタリング設定を何も書いてない場合の挙動は?
FIREWALL設定(詳細設定)は、設定画面上は表記されていないが、初期設定で「WAN-LAN方向は全て遮断」「LAN-WAN方向は全て通過」である。

CTU設定

TOP>ファイアウォール設定 >ファイアウォール詳細設定

ファイアウォール詳細設定

●共通設定
SPIの設定項目 機能の使用 使用する
TCPタイムアウト(秒) 3600
ICMPタイムアウト(秒) 60
●ルール設定
主なルールの説明(2006.04.23追記)
 0番台:PING無応答設定 注)
10番台:(必須の設定)LAN内ファイル共有への防護設定
20番台:(必須の設定)IP Spoofing対策、LAN内プライベートアドレスの流出防止
30番台:同上
40番台:フレッツ光プレミアムでのテレビ電話機能を使用可能にする設定
50番台:自宅サーバー公開のための設定
60番台:基底の設定(ルールにない場合の拒否設定)

注)NTT西日本IPカスタマサポートより、「FIREWALL詳細設定でICMPプロトコルの拒否設定していても、PINGに応答する。」という質問に対して、 「フィルタリング設定はCTUを通過するパケットに対して適用される。グローバルIPアドレスはCTUのWAN側についており、そのアドレスへのpingはCTUを通過しないためフィルタリングされない。」という回答を得ているので、設定してもPINGに応答します。

No. 許可
/拒否
適用する接続先 IP
バージョン
通信方向 プロトコル TCPフラグ ICMP/
ICMPv6
タイプ
ICMP/
ICMPv6
コード
送信元アドレス 送信元
ポート
送信先アドレス 送信先
ポート
ログ保存 メモ
1 拒否 全接続先 IPv4・
IPv6
WAN→LAN ICMP 指定しない any any 全アドレス 全ポート 全アドレス 全ポート 保存しない PING他を無応答に。
2 拒否 全接続先 IPv4・
IPv6
WAN→LAN ICMPv6 指定しない any any 全アドレス 全ポート 全アドレス 全ポート 保存しない PING他を無応答に。
10 拒否 全接続先 IPv4・
IPv6
WAN→LAN TCP 指定しない - - 全アドレス 全ポート 全アドレス 135
~139
保存しない WAN側WinLAN内ファイル共有の拒否
11 拒否 全接続先 IPv4・
IPv6
LAN→WAN TCP 指定しない - - 全アドレス 135
~139
全アドレス 全ポート 保存しない WAN側WinLAN内ファイル共有の拒否
12 拒否 全接続先 IPv4・
IPv6
WAN→LAN TCP 指定しない - - 全アドレス 全ポート 全アドレス 201
~208
保存しない WAN側LAN内AppleTalkの拒否
13 拒否 全接続先 IPv4・
IPv6
LAN→WAN TCP 指定しない - - 全アドレス 201
~208
全アドレス 全ポート 保存しない WAN側LAN内AppleTalkの拒否
14 拒否 全接続先 IPv4・
IPv6
WAN→LAN TCP 指定しない - - 全アドレス 全ポート 全アドレス 445
~445
保存しない WAN側WinLAN内ファイル認証の拒否
15 拒否 全接続先 IPv4・
IPv6
LAN→WAN TCP 指定しない - - 全アドレス 445
~445
全アドレス 全ポート 保存しない WAN側WinLAN内ファイル認証の拒否
20 拒否 接続先1 IPv4 WAN→LAN
プロトコル
指定しない - - 10.0.0.0~
10.255.255.255
全ポート 全アドレス 全ポート 保存しない WAN側A級プライベートアドレス拒否
21 拒否 接続先1 IPv4 LAN→WAN
プロトコル
指定しない - - 全アドレス 全ポート 10.0.0.0~
10.255.255.255
全ポート 保存しない WAN側A級プライベートアドレス拒否
22 拒否 全接続先 IPv4 WAN→LAN
プロトコル
指定しない - - 172.16.0.0~
172.31.255.255
全ポート 全アドレス 全ポート 保存しない WAN側B級プライベートアドレス拒否
23 拒否 全接続先 IPv4 LAN→WAN
プロトコル
指定しない - - 全アドレス 全ポート 172.16.0.0~
172.31.255.255
全ポート 保存しない WAN側B級プライベートアドレス拒否
24 拒否 全接続先 IPv4 WAN→LAN
プロトコル
指定しない - - 192.168.0.0~
192.168.255.255
全ポート 全アドレス 全ポート 保存しない WAN側C級プライベートアドレス拒否
25 拒否 全接続先 IPv4 LAN→WAN
プロトコル
指定しない - - 全アドレス 全ポート 192.168.0.0~
192.168.255.255
全ポート 保存しない WAN側C級プライベートアドレス拒否
26 拒否 全接続先 IPv4 WAN→LAN
プロトコル
指定しない - - 127.0.0.0~
127.255.255.255
全ポート 全アドレス 全ポート 保存しない WAN側自己診断用IPアドレスの拒否
27 拒否 全接続先 IPv4 LAN→WAN
プロトコル
指定しない - - 全アドレス 全ポート 127.0.0.0~
127.255.255.255
全ポート 保存しない WAN側自己診断用IPアドレスの拒否
28 拒否 全接続先 IPv6 WAN→LAN
プロトコル
指定しない - - FE::~
FE:FFFF
:FFFF:FFFF:FFFF
:FFFF:FFFF:FFFF
全ポート 全アドレス 全ポート 保存しない WAN側リンクローカルアドレスの拒否
29 拒否 全接続先 IPv6 LAN→WAN
プロトコル
指定しない - - 全アドレス 全ポート FE::
~FE:FFFF
:FFFF:FFFF:FFFF
:FFFF:FFFF:FFFF
全ポート 保存しない WAN側リンクローカルアドレスの拒否
30 拒否 全接続先 IPv4 WAN→LAN
プロトコル
指定しない - - 203.212.55.105
~203.212.55.105
※自己のグローバルアドレスを記入のこと。
(非固定IPアドレスの場合は、設定しないこと。)
全ポート 全アドレス 全ポート 保存しない 自己IPアドレスよりの偽装パケットの遮断(2006.04.23追記)
41 許可 IPv6 IPv6 WAN→LAN UDP 指定しない - - 全アドレス 16384
~16403
全アドレス 16384
~16403
保存しない テレビ電話機能1を使用
42 許可 IPv6 IPv6 WAN→LAN UDP 指定しない - - 全アドレス 16484
~16503
全アドレス 16484
~16503
保存しない テレビ電話機能2を使用
43 許可 IPv6 IPv6 WAN→LAN TCP 指定しない - - 全アドレス 1024
~65535
全アドレス 10000
~10009
保存しない テレビ電話機能3を使用
44 許可 IPv6 IPv6 WAN→LAN UDP 指定しない - - 全アドレス 32768
~65535
全アドレス 35060
~35064
保存しない テレビ電話機能4を使用
45 許可 IPv6 IPv6 WAN→LAN UDP 指定しない - - 全アドレス 32768
~65535
全アドレス 35050
~35054
保存しない テレビ電話機能5を使用
46 許可 IPv6 IPv6 WAN→LAN UDP 指定しない - - 全アドレス 32768
~65535
全アドレス 17000
~17009
保存しない テレビ電話機能6を使用
50 許可 全接続先 IPv4・
IPv6
WAN→LAN TCP SYN - - 全アドレス 全ポート 全アドレス 80
~80
保存しない WWWサーバーを公開
51 許可 全接続先 IPv4・
IPv6
WAN→LAN TCP SYN - - 全アドレス 全ポート 全アドレス 25
~25
保存しない SMTPサーバーを公開
52 許可 全接続先 IPv4・
IPv6
WAN→LAN TCP SYN - - 全アドレス 全ポート 全アドレス 53
~53
保存しない DNSサーバーのセカンダリへのゾーン転送
53 許可 全接続先 IPv4・
IPv6
WAN→LAN UDP 指定しない - - 全アドレス 全ポート 全アドレス 53
~53
保存しない DNSサーバーを公開
54 許可 全接続先 IPv4・
IPv6
WAN→LAN TCP SYN - - 全アドレス 全ポート 全アドレス 21
~21
保存しない FTPサーバーを公開
55 許可 全接続先 IPv4・
IPv6
WAN→LAN TCP SYN - - 全アドレス 全ポート 全アドレス 3000
~3049
保存しない FTPサーバーのパッシブモードを公開
61 拒否 全接続先 IPv4・
IPv6
WAN→LAN TCP SYN - - 全アドレス 全ポート 全アドレス 全ポート 保存しない 全TCP-SYNパケットのしゃ断

参考URL:ADSL Routerの設定