IP フィルター

1. 概要

本製品の IP フィルター 機能は、外部からの不正アクセスや不要な通信を制御するためのセキュリティ機能です。

IP フィルターには、以下の 2 種類があります。

静的フィルター: 送信元・宛先の IP アドレスやポート番号、プロトコルなどの条件に基づいて、あらかじめ設定されたルールでパケットの通過・破棄を制御します。
動的フィルター: SPI（Stateful Packet Inspection）方式により、内部から開始されたセッションに基づく応答通信のみを通過させ、それ以外は遮断します。

本ページでは、これらをまとめて説明する場合は「IP フィルター」、個別に言及する場合は「静的フィルター」「動的フィルター」と呼称します。

2. 注意事項

誤った IP フィルター設定を行うと、本製品の Web GUI にアクセスできなくなったり、正常に通信することができなくなったりする可能性があります。設定を変更する際は十分注意して変更を行ってください。
工場出荷状態では、IP フィルターは設定されていません。
IPフィルターは、設定完了後すぐに有効になります。再起動は不要です。
プロバイダー設定を行うと、自動的にフィルター設定が追加されることがあります。

3. 対応ファームウェアリビジョン

モデル	ファームウェア
NWR100	Rev.26.00.04以降

モデル

ファームウェア

NWR100

Rev.26.00.04以降

4. IP フィルター設定について

IP フィルターは、 「詳細設定」 - 「セキュリティー」 - 「IP フィルター」 から任意に設定できます。
また、一部のフィルター設定はプロバイダー設定を行うことで自動的に追加されます。

IP フィルターを設定するには、以下の 2 点を指定する必要があります。

対象インターフェースの選択
受信または送信方向の指定

4.1. 選択可能なインターフェースについて

インターフェースによって、IPv4、IPv6、またはその両方のフィルターが設定できます。
選択可能なインターフェースは以下の通りです。

インターフェース名	IPv4	IPv6	説明
LAN	◯	◯	常時、設定可能。
WAN	◯	◯	プロバイダー設定完了後に選択可能。設定状況により利用できるIPバージョンが異なります。
IPv4 over IPv6	◯	-	IPv4 over IPv6 を使用時のみ選択可能。(IPv4のみ)
リモートアクセス	◯	-	リモートアクセスVPN設定後に選択可能。(IPv4 のみ、受信方向のみ）
ゲスト Wi-Fi	◯	-	ゲストWi-Fi設定後に選択可能。(IPv4のみ)

インターフェース名

IPv4

IPv6

説明

LAN

◯

常時、設定可能。

WAN

◯

プロバイダー設定完了後に選択可能。設定状況により利用できるIPバージョンが異なります。

IPv4 over IPv6

◯

-

IPv4 over IPv6 を使用時のみ選択可能。(IPv4のみ)

リモートアクセス

◯

-

リモートアクセスVPN設定後に選択可能。(IPv4 のみ、受信方向のみ）

ゲスト Wi-Fi

◯

-

ゲストWi-Fi設定後に選択可能。(IPv4のみ)

4.2. 静的フィルターの「定義」と「適用」について

静的フィルターは、「定義」と「適用」という 2 段階で構成されます。

定義: パケットの条件（送信元・宛先の IP やポート番号など）に基づき、通過または破棄するルールを作成することです。
適用: 定義したルールを、指定のインターフェースと方向（受信／送信）に有効化することです。

ルールを定義しただけでは動作しません。必ず「適用」を行ってください。

5. 動的フィルターについて

動的フィルター（SPI）は、内部から開始されたセッションに対応する応答パケットのみを許可し、それ以外を遮断します。
静的フィルターとは異なり、プロトコルや送信元・宛先アドレスといった詳細な設定は不要です。ユーザーは、この動的フィルター機能の 使用の有無のみ を切り替えることができます。

6. IP フィルターの評価順序

パケットが送受信される際、IP フィルターの評価は以下の順序で行われます。

6.1. 静的フィルターと動的フィルター間の評価と優先順位

受信方向のパケットは、「動的フィルター」→「静的フィルター」の順序で評価されます。
送信方向のパケットは、「静的フィルター」→「動的フィルター」の順序で評価されます。

6.2. 静的フィルター間の評価と優先順位

静的フィルターは、適用時に優先順位（ルールの並び順）を設定できます。

指定したインターフェースを通過するパケットに対し、適用済みのルールを優先順位の高い順に評価し、最初に一致したルールに従って通過または破棄の処理を行います。

ルールに一致しなかった場合の動作は以下のとおりです：

1 つ以上のルールが適用されている場合、どのルールにも一致しないパケットは破棄されます。
ルールが適用されていないインターフェースでは、パケットは通過します。

7. Web GUIによるIPフィルターの設定方法

IP フィルターの設定変更は、Web GUIの [詳細設定] - [セキュリティー] - [IP フィルター] ページで行います。

7.1. 静的フィルターの定義の追加手順

IP フィルターのトップページから設定画面を開きます。
「IPv4」または「IPv6」のどちらのIPパケットに対してフィルターを設定するか選択し、ルールを適用させたいインターフェースの「設定」ボタンをクリックします。この例では IPv4 / WAN インターフェースを選択します。

IP フィルタートップ画面
「受信方向」または「送信方向」のどちら方向のパケットに対する設定を行うか選択し、静的フィルターの「設定」ボタンをクリックします。この例では受信方向を選択します。

WAN インターフェース
「追加」ボタンをクリックして、ルールの作成画面に遷移します。

WAN インターフェース受信方向

フィルターの追加画面

ルールを作成します。以下に各項目の詳細を示します。

タイプ

条件(ルール）に一致したパケットをどう処理するかを指定します。

項目	説明
pass(ログあり)	パケットを通過させ、ログに出力します。
pass(ログなし）	パケットを通過させ、ログに出力させません。
reject(ログあり）	パケットを破棄し、ログに出力します。
reject(ログなし）	パケットを破棄し、ログに出力させません。

項目

説明

pass(ログあり)

パケットを通過させ、ログに出力します。

pass(ログなし）

パケットを通過させ、ログに出力させません。

reject(ログあり）

パケットを破棄し、ログに出力します。

reject(ログなし）

パケットを破棄し、ログに出力させません。

プロトコル

一致条件として使用するプロトコル番号を指定します。プロトコル番号は、上位層のサービス種別を識別するための番号です。
設定を簡易に行うために、あらかじめいくつかのニーモニック（プロトコル名）が用意されています。

項目	プロトコル番号	説明
ICMP	1 または 58	IPv4のルール作成時は1(ICMP4)として扱われます。 IPv6のルール作成時は、58(ICMP6)として扱われます。
ICMP4	1	IPv6のルール作成時のみ表示されます。
ICMP6	58	IPv4のルール作成時のみ表示されます。
IP	4
TCP	6
UDP	17
IPv6	41
GRE	47
ESP	50
AH	51
手動入力	0～255の範囲で指定可能	任意のプロトコル番号を指定する場合に選択します。

項目

プロトコル番号

説明

ICMP

1 または 58

IPv4のルール作成時は1(ICMP4)として扱われます。
IPv6のルール作成時は、58(ICMP6)として扱われます。

ICMP4

1

IPv6のルール作成時のみ表示されます。

ICMP6

58

IPv4のルール作成時のみ表示されます。

IP

4

TCP

6

UDP

17

IPv6

41

GRE

47

ESP

50

AH

51

手動入力

0～255の範囲で指定可能

任意のプロトコル番号を指定する場合に選択します。

送信元IPアドレス

一致条件として、送信元のIPアドレス・ネットワークアドレス、またはFQDNを指定します。

項目	説明
すべてのIPアドレス	すべての送信元アドレスを対象にします。
IPv4 over IPv6インターネットで使用するIPv4アドレス	MAP-E 方式で生成されたグローバル IPv4 アドレスのみを対象にします。
IPアドレスまたはFQDN	対象とする任意のIPアドレス、ネットワークアドレス、またはFQDN を指定します。FQDN は英数字、ハイフン（-）、ドット（.）が使用可能です。

項目

説明

すべてのIPアドレス

すべての送信元アドレスを対象にします。

IPv4 over IPv6インターネットで使用するIPv4アドレス

MAP-E 方式で生成されたグローバル IPv4 アドレスのみを対象にします。

IPアドレスまたはFQDN

対象とする任意のIPアドレス、ネットワークアドレス、またはFQDN を指定します。FQDN は英数字、ハイフン（-）、ドット（.）が使用可能です。

送信元ポート番号

一致条件として、送信元が使用するTCPまたはUDPポート番号を指定します。
通常、クライアント通信では「エフェメラルポート」（1024～65535）が使用されますが、特定の送信元ポートを制御したい場合に指定します。

項目	設定値	説明
すべてのポート番号	-	すべてのポート番号を対象にします。送信元ポート番号に制限をおこなわない場合に選択します。
ポート番号を指定	0～65535の範囲で指定可能	任意の送信元ポート番号を指定します。

項目

設定値

説明

すべてのポート番号

-

すべてのポート番号を対象にします。送信元ポート番号に制限をおこなわない場合に選択します。

ポート番号を指定

0～65535の範囲で指定可能

任意の送信元ポート番号を指定します。

宛先IPアドレス

一致条件として、宛先のIPアドレス・ネットワークアドレス、またはFQDNを指定します。

項目	説明
すべてのIPアドレス	すべての宛先アドレスを対象にします。
IPv4 over IPv6インターネットで使用するIPv4アドレス	MAP-E 方式で生成されたグローバル IPv4 アドレスのみを対象にします。
IPアドレスまたはFQDN	対象とする任意のIPアドレス、ネットワークアドレス、またはFQDN を指定します。FQDN は英数字、ハイフン（-）、ドット（.）が使用可能です。

項目

説明

すべてのIPアドレス

すべての宛先アドレスを対象にします。

IPv4 over IPv6インターネットで使用するIPv4アドレス

MAP-E 方式で生成されたグローバル IPv4 アドレスのみを対象にします。

IPアドレスまたはFQDN

対象とする任意のIPアドレス、ネットワークアドレス、またはFQDN を指定します。FQDN は英数字、ハイフン（-）、ドット（.）が使用可能です。

宛先ポート番号

一致条件として、宛先のサービスが使用するTCPまたはUDPポート番号を指定します。

項目	設定値	説明
すべてのポート番号	-	すべてのポート番号を対象にします。宛先ポート番号に制限をおこなわない場合に選択します。
ポート番号を指定	0～65535の範囲で指定可能	任意の送信元ポート番号を指定します。

項目

設定値

説明

すべてのポート番号

-

すべてのポート番号を対象にします。宛先ポート番号に制限をおこなわない場合に選択します。

ポート番号を指定

0～65535の範囲で指定可能

任意の送信元ポート番号を指定します。

任意のルールを指定し、「確認」ボタンをクリックします。
内容に問題がないことを確認し、「設定の確定」ボタンをクリックします。

フィルターの追加入力内容確認画面

7.2. 静的フィルターの適用手順

新しく定義したフィルターは、インターフェースに適用をする必要があります。適用の手順は以下の通りです。

静的フィルターの定義の追加手順と同様に、対象インターフェースの適用方向を選択を行います。この例では IPv4 / WAN / 受信方向を選択します。
追加対象の IP フィルターにチェックを入れ、「先頭に追加」または「末尾に追加」をクリックします。

フィルターの適用追加フィルターの選択
選択した追加位置に従って、「適用フィルター」欄にフィルターが追加されます。

フィルターの適用適用フィルターリスト
先頭、または末尾以外に追加したい場合は、「移動」列の矢印ボタンをクリックし、位置を調整します。
追加位置の設定ができたら、「確認」ボタンをクリックします。
設定される適用フィルターのリストが表示されますので、問題がなければ「設定の確定」ボタンをクリックします。

フィルターの適用確認画面