IPアドレスやホスト名を指定して不正アクセス拒否できる家庭用ルーターの紹介

特定のIPアドレスやホスト名を指定してルーターへのアクセスを拒否したい
ホスト名は拒否できないがIPアドレスとマスク長を指定してアクセス(インバウンド側)拒否できる製品
パケットフィルタ IPアドレス拒否設定準備
Atermシリーズパケットフィルタを使いIPアドレスを拒否する設定説明
NTTルーター(PR-200NE PR-S300 RT-400 RT-500シリーズ)パケットフィルタを使いIPアドレスを拒否する設定説明
パケットフィルタによる不正アクセスブロックテスト
仮想不正アクセステスト & 不正アクセス拒否設定説明

Contents

特定のIPアドレスやホスト名を指定してルーターへのアクセスを拒否したい
ホスト名は拒否できないがIPアドレスとマスク長を指定してアクセス(インバウンド側)拒否できる製品
パケットフィルタ IPアドレス拒否設定準備
Atermシリーズパケットフィルタを使いIPアドレスを拒否する設定説明
NTTルーター(PR-200NE PR-S300 RT-400 RT-500シリーズ)パケットフィルタを使いIPアドレスを拒否する設定説明
パケットフィルタによる不正アクセスブロックテスト
仮想不正アクセステスト & 不正アクセス拒否設定説明

特定のIPアドレスやホスト名を指定してルーターへのアクセスを拒否したい

特定のIPアドレスやホスト名を指定してアクセスを拒否できるルーターってありますか？と問い合わせを頂きました。
WEBサーバを管理している人なら「.htaccess」による特定IPアドレスやホスト名を拒否する設定を思い浮かべるのですが、ルーターにIPアドレスやホスト名を拒否できる製品？思い出せなかったので調べました。
.htaccessでは以下のような感じでWEBサーバにアクセスできなくする事ができる。マスク長を指定すると大規模にアクセス制限を掛ける事ができる。
deny from 208.***.85.74
deny from funs*****help.info
deny from 63.***.224.0/19
*(ワイルドカード)で隠しているのは特に意味はありませんが、悪意あるIPアドレスとホスト名の為隠しています。ご了承願います。

ホスト名は拒否できないがIPアドレスとマスク長を指定してアクセス(インバウンド側)拒否できる製品

家庭向けではNECのAterm ルーターとNTTが提供するフレッツ光モデム内蔵ルーターのパケットフィルタでIPアドレスとマスク長を指定してアクセス拒否させる事ができる。
家庭向けでは無く設定もコマンドを用いるなどハードルは高いがヤマハ製のルーターもパケットフィルタに対応しておりIPアドレスとマスク長を指定してアクセス制限を掛ける事ができる。
Atermシリーズルーターのパケットフィルタ設定画面。

パケットフィルタ IPアドレス拒否設定準備

まず拒否したいホスト名またはIPアドレスの範囲を調べます。
調べる方法はwhoisを使うと良いでしょう。
ホスト名「cloud.z.com」と言うホストを拒否したい場合は次のIPアドレス範囲を指定しなければならない。
「163.44.64.0 – 163.44.191.255」
IPアドレス計算機サービスなどを使いマスク長を調べます。
cloud.z.comが使うIPアドレス範囲は163.44.0.0/マスク長16の情報をパケットフィルタに設定して拒否させる事ができる。
補足、拒否したいIPアドレス範囲を調べる場合もwhoisを使うと範囲を調べられます。

悪意あるアクセスはランダムなIPアドレスを使用してくるので一概に一つだけとは限らないので、必ず頻繁に不正アクセスを働くIPアドレスの監視は怠らないようにして下さい。

Atermシリーズパケットフィルタを使いIPアドレスを拒否する設定説明

163.44.0.0/マスク長16をパケットフィルタに登録する方法
Atermの設定画面を開いて(Atermポート開放説明にログイン方法を掲載しています)
「詳細設定」-「パケットフィルタ設定」を開きます。
設定を追加する前に優先度が何番が最後なのか調べます。Atermのデフォルトパケットフィルタは18番まで設定されているはずなので、パケットフィルタを追加する場合はそれ以降の番号を指定しなければならない。

次の様に設定をします。

種別破棄
方向 in
プロトコル IPすべて
送信元IPアドレス any/localhostの下のラジオボタンにチェックを入れ「IPアドレス」/「マスク長」を指定
優先度 19 →追加する場合は繰り上がる。

補足、anyとはワイルドカードを意味するので全てと言う事を表します。

ホスト名「cloud.z.com」と言うホストを拒否する設定例
「163.44.64.0 – 163.44.191.255」範囲は163.44.0.0/マスク長16

種別破棄
方向 in
プロトコル IPすべて
送信元IPアドレス any/localhostの下のラジオボタンにチェックを入れ「163.44.0.0」/「16」
優先度 19 →追加する場合は繰り上がる。

設定から保存をクリックして下さい。

前のページに戻り、設定が追加されていることを確認下さい。

NTTルーター(PR-200NE PR-S300 RT-400 RT-500シリーズ)パケットフィルタを使いIPアドレスを拒否する設定説明

搭載サイトのIPアドレス「153.127.233.162」を参考に説明致します。
IPv4パケットフィルタ設定を開く。

設定の無いエントリ番号右側の「編集」ボタンをクリックする

IPv4パケットフィルタ設定エントリ編集画面が表示されるので次の様に設定します。

フィルタ種別拒否
通信方向 WAN→LAN (インバウンド方向です)
プロトコル全て指定
接続インターフェース名全て (セッション個別で設定もできる)
送信元IPアドレス/マスク長全て指定の下のラジオボタンにチェック「153.127.233.0」/「24」

設定ボタンをクリック。注意、これで設定が完了したわけではない必ず最後まで読んで下さい。
他設定不要で全てany(全て・ワイルドカード)指定で構わない。個別で設定しても良いのだが間違えるとフィルタされていない場合がある。

IPv4パケットフィルタ一覧に戻るので、必ず追加したエントリー番号にチェックを入れる。

次にページ上または下にある設定ボタンをクリックして保存。
以上で設定完了です。

注意事項、v6プラス(IPoE)ご契約の場合IPv6側の不正アクセスは上記の設定で拒否できない。
SIPファイアウォールが外部不正アクセスを拒否してくれるのだが、心配であればパソコン側のTCP/IP(IPv6)を無効にすると良いでしょう。
https://www.akakagemaru.info/port/faq-ipv4.html

パケットフィルタによる不正アクセスブロックテスト

私のサイトに設置しているサーバIPアドレス「153.127.233.162」より、私の使っているパソコンにANHTTPDを導入し8080番でパケットが到達できなくするテストです。
8080番を拒否するという事はany(ワイルドカード)アクセスをIPを指定して拒否できる事を意味します。

仮想不正アクセステスト & 不正アクセス拒否設定説明

Atermルーターで説明します。NTTルーターも基本的に同じ手順です。
当サイトのポート開放確認サービスを利用し仮想不正アクセス拒否テスト手順を説明致します。
まずANHTTPDを入手し起動します。ANHTTPD動作はそのまま80番でも構わないのですが8080番で今回はテストしました。
Atermにポート開放設定を追加します。