『NATアドレス変換について』のクチコミ掲示板

必要なポートを空けることについてなのですが
ポート80をあける場合WWWサーバを外部に公開するという項目で
開けれますがIPフィルタの外部装置から開始されるTCPセッションを遮断
を解除しないといけませんよね。
そうすると80以外のポートが ステルスではなくCLOSEDになってしまいます。

外部装置から開始されるTCPセッションを遮断を有効にしたまま
NATアドレス変換をすると IPフィルタでもポート80を許可しなければ
通らないのですが。

必要なポート以外をステルスにするにはどうすれば良いでしょうか。

書込番号：2069650

[Jimo]

> 外部装置から開始されるTCPセッションを遮断を有効にしたまま
> NATアドレス変換をすると IPフィルタでもポート80を許可しなければ
> 通らないのですが。

それで良いんじゃないの？こういうことだよね？

　優先度　　　　　　　　　　：60未満
　インターフェース　　　　　：接続xから受信
　送信元IPアドレス／マスク長：0.0.0.0/0
　送信先IPアドレス／マスク長：x(PPP取得)
　プロトコル　　　　　　　　：TCP-SYN
　送信元ポート番号　　　　　：*
　送信先ポート番号　　　　　：80
　アクション　　　　　　　　：通過

これとNATで目的が達成できるよね？

書込番号：2071639

やはり両方設定しないといけないんですね。
以前のルータ(ADSLルータ)はNAT変換で指定したポート以外はすべて
ステルスだったので　戸惑ってしまいました。(設定が二度手間にならない)

しかし別のセキュリティスキャンサイトで調べると
外部装置から開始されるTCPセッション...を解除
していてもステルスになります!(NAT変換で開いたポート以外ステルス)(希望道理の動作)
これが本当の結果だと良いのですが。

みなさんは以下のサイトで違いがでますか?

Sygate Port Scan
http://scan.sygate.com/prestealthscan.html

ShieldsUP! (Proceedを押した後All Service Portsをクリック)
https://grc.com/x/ne.dll?bh0bkyd2

書込番号：2071745

[Jimo]

> みなさんは以下のサイトで違いがでますか?

結果が異なるね。これはあくまでも推測なのだけれど，以下のような
ことかな，と。

SygateはScanのSource PortとしてWell-known Portを使っているね。
一方のShieldsUP!は，かなり後方のPortを使っている。この違いでは
ないだろうか。つまり，MN8300のセキュリティ設定は，Well-known
Portと1024以降のポートで扱いが違うのではないかな。

従って，Well-known Portも含めてStealth化したかったら，やはり
IPフィルタを使うしかないということだと思う。これが意図した仕様
なのかどうかはわからないが，確かに「アクセス制限」の方は「禁止」
と表現し，「IPフィルタ」の方では「遮断」となっているね。にもか
かわらず，「アクセス制限（ステルス）」と「ステルス」をつけている
ところが変にも感じるが，まぁ，1024以降がステルスだとすれば，完全
には間違いではないのかな・・・

書込番号：2075012

MN8300の現在の動作的にはこうなってしまうんですね。
自分だけではないようで安心しました。

TCPセッションを遮断を無効にして使っていこうと思います。

ありがとうございました。

書込番号：2075072