今まで行っていたNTTのお仕事も終わりまして、ようやく土日が暇になり、友人と休みが合うようになったくりゅえるです。もちろん今までどおり、平日もお休みです。まあそれを「無職」と世間一般では言うようですが、気にしないのです。気にしたら負けです。……既に人生負け組ですか、そうですか。
と、相変わらずの自虐ネタですが、最近プチ勝ち組になったのですよ。それは某ショップで行っていた、1万円でPCが買えるという企画。先着順での販売ですが、それを見事ゲットできまして。しかも友人に頼まれていた分まで確保でき、その友人も喜んでくれて、非常に嬉しい出来事だったのですが。
よく考えたらその人は定職に就いててボーナスも出てるしセール品買わなくても十分買えるだけの財力あるんだから普通に買っても良かったんじゃないのかなあなんて思う心の狭い自分が嫌になりますけれども人生永年負け組の自分がちょこっとだけそう思うくらい神様は許してくれるよたぶんきっといいえ必ず。
……こういう思考しかできないから、永年負け組なんだなと思った今日この頃。orz
回線切り替えした際に、今までレンタルしていたNECのルーター機能付きモデムから、NTT謹製(といってもOEMでしょうが) のルーター機能付きモデム「ADSLモデム-SVII」に変更になったため、その設定について、友人知人向け情報提供兼自分用にメモしてみるテスト。
まず「SPI設定」をクリックし、設定が有効になっているか確認する(デフォルトではオンのはず)。
次に「パケットフィルタ設定」で、
プライベートアドレスを使用した外部装置との通信を禁止 (No.1?No.6を使用)
外部装置から開始されるTCPセッションを遮断 (No.7を使用)
外部とのWindows共有関係のトラフィックを遮断 (No.8?No.15を使用)
の各チェックボックスにチェックをつけると、割と固めのセキュリティ設定となるので実行するのが望ましい。それぞれの意味は
IP Spoofingな通信の拒絶(IN-OUTともに)
TCP-SYNパケットの受信を拒否(すべてのポートにおいて)
Windowsファイル共有で使う、ポート137?139、445への通信を拒絶(IN-OUTとも)
となっている。ここで問題なのは2番目の「外部装置から開始されるTCPセッションを遮断 (No.7を使用)」の設定。これをオンにするとセキュリティ的には固くなるが、自分でサーバーを立てたりする場合や、アクティブFTP(一般的な、ポート20・21を使うFTP) 通信を行う場合には、エラーが出て通信できなくなる。(余談だが「静的NAT設定」画面から、Web・FTP用ポートをワンクリックでポートフォワードできるのだが、このチェックボックスをオンにしているとエラーが出て設定できなくなっている)
それを回避するためには、このフィルタをオフにするのがいちばん簡単だが、セキュリティ的には(SPIがあるから外しても問題はあまりないと思うけど) 若干弱くなるのでお勧めしたくない。ではどうするかといえば、使用するポート番号についてのみTCP-SYNを許可してやればよい。
デフォルトでは、上記のチェックボックスをオンにすると「TCP-SYN拒否」は優先順位が 60 でフィルタ登録される。同様に他のフィルタは「IP Spoofing拒否」が 50?55、「ファイル共有ポートの拒否」が 65?72 を使うようになっている。そこで「TCP-SYN拒否」より優先順位を上にして(例えば 10 などを指定)、通したいポート番号を指定してやれば動作することになる。
例えばアクティブFTP通信を許可したい場合は、次のように設定する。
- 「パケットフィルタ設定」から、適当な(使われていない) 番号を指定
- 設定画面が開くので、優先順位に 60 より小さい数字(かつ使われていないもの) を指定
- 「フィルタ適用インタフェース」欄に[接続先1(Flets ADSL) から受信]を選択(デフォルトでは)
- 「送信元IPアドレス/マスク長」には[0.0.0.0]/[0]と指定
- 「宛先IPアドレス/マスク長」のチェックボックス[自分宛て]にチェックをつけて[Flets ADSL(PPP取得)]を選択(デフォルトでは)
- 「プロトコル種別」欄に[TCP-SYN]と入力
- 「送信元ポート番号」欄に[ftpdata]もしくは[20]と入力
- 「宛先ポート番号」欄は[*]のまま変更しない
- 「動作」は当然[通過]とする
以上の設定が終わったら[設定]ボタンをクリックする。すると即座にフィルタが反映され、アクティブFTPが利用できるようになる。パッシブFTPの場合は、テストした限りは特に問題がないようだったので、設定の必要はないと思われる。
サーバーを公開したい場合も同様に「パケットフィルタ設定」で通信したいポートのTCP(TCP-SYNだけでも大丈夫だと思うけど、他のパケットを落とされてたら困るので) を許可した上で「静的NAT設定」なり「静的IPマスカレード設定」をしてやれば動作するようになる。
以上、セキュリティを固めに、かつアクティブFTP通信をするとき・サーバー公開する時に必要な設定のメモでした。