『DMZホスティング設定』のクチコミ掲示板

一週間ほど前からBR1500Hユーザです。
友人から教えてもらった、セキュリティチェックサイトShields UP!の
Probe My Ports!を実行した時、3〜4項目が"Stealth!"で、あとは全て
"Closed"という結果でした。（BR1500Hはデフォルトの設定）

「この結果でも充分安全」みたいなことは書かれていたのですが、
「全項目が"Stealth!"になるようにファイアーウォールの導入を
検討した方が良い」というようなことも書かれてました。

ルータだけでセキュリティの向上を図れないかとネット上で色々と
調べた結果、「DMZホスト機能を使って、不要なパケットをPCが
割り当てられていないIPアドレスに転送する」という裏技（？）が
紹介されていました。（ZDNetのサイト内です）
そこで、BR1500HのDMZホスティング機能を次のように設定してみました。

　　DMZホスト機能：使用する
　　DMZホストの配置：仮想DMZ側
　　DMZホストのIPアドレス：192.168.10.2
　　仮想DMZ側ネットワークのIPアドレス：192.168.10.1（自動生成）

この設定でShields UP!のProbe My Ports!を実行すると、全ての項目が
"Stealth!"になりました！
でも、この192.168.10.2というIPアドレスは、実際にはどの機器も
使っていない（繋がっていない）んですよね・・・
これって何か問題になるんでしょうか？

補足：関係ないかもしれませんが、このDMZホストの設定を変更すると、
ダウンロードスピードテストで今までで最速の値が出ました。偶然？

書込番号：1329184

下記のフィルタリングを追加すれば
拒否 　 * 　 localhost/255.255.255.255 　 TCP 　 * 　 1-1024 　 順方向
"Stealth!"なるのでは？

書込番号：1331069

どうもお返事ありがとうございます。
パケットフィルタ設定は、説明(CD-ROM)を読んでもイマイチ分からなかったので、
敬遠してました…
今度その設定も試してみます。

ところで疑問なんですが、外部のインターネット網とPCの間にルータを入れると、
外部からの意図しないアクセスを直接PCが受けることはないんですよね？
（IPマスカレード機能により）
それなのに、パーソナル・ファイヤーウォールや、パケットフィルタリングの
設定が必要と言われるのは、どういった理由からなんでしょう？

また、IPマスカレード下なのに、Shields UP!のProbe My Ports!で、
"Stealth!"ではなく、"Closed"という結果が何故帰ってくるのか？
これは「外部から直接PCにアクセスされている状態」ではないのでしょうか？
（アクセスを試みた結果、ポートは閉じていただけで…）

結局のところ、ルータでグローバルアドレス→プライベートアドレスと
変換しただけでは、セキュリティ上不十分なんでしょうか？

書込番号：1338378

わかる範囲で
（１）外からのアクセスできる状態だと（ポートが空いていて）、パーソナル・ファイヤー
ウォールや、パケットフィルタリング設定が必要とのことでは。
例えば、普通のダイアルアップではプロバイダーに接続した瞬間にインターネ
ット側からモデムを経由してＰＣのアクセスが可能となります。
（２）Atermのサービス（機能）の1つであるWWW や TFTP は"Stealth!"になっています。
これは、外からWWW や TFTPを使用できなくするためと思っております（Atermがポートを
デフォルトで閉じているのでしょう）。
（３）"Closed"とは、ポートは開いているのですが、Atermがそのポートに対応する
サービスを備えていない状態では？。ポートは開いていても、外からアクセスの意味は有りません。
（４）Shields UPでは、"Closed"状態では、知らないうちにサービスが開始されると
（ＰＣではウィルスにかかると可能性があります）危険なので、明示的に"Stealth!"の
設定をした方が良いと記述していると思います。　
（５）一般に開けたポートに対応するサービス（プログラム）が安全かを、個人が責任をもって
十分にチェック（常に監視）する必要があると思っております。

書込番号：1345127