『IPv6ファイアーウォールの不明点、ASUS技術担当よりの確認結果』のクチコミ掲示板

[Izumitengu]

購入して最初の日の設定でわからなかった点をASUSさんへ聞きました。

日本語のだけではなく英語のマニュアルやGUIの説明もIPｖ６を安全に使うにはどうすればいいのか、書いてない。
そのまま読むと、設定の通りにすると外からの不法侵入可能です、と書いてあります。

すぐに返事はくれるのだけれど、多分台湾の技術者ではない人が翻訳ソフトを使って、台湾の技術者との間に入りやり取りするものだから、なかなか話が進みませんでした。ひと月近くめーるのやりとりを辛抱強くやって、やっと結論らしきものを得ました。

確かにこの設定で約1か月、外からのIPｖ6アドレスへのアクセス、不法侵入の形跡はありません。

前回の疑問は：
IPｖ６ファイヤーウォール：https://www.asus.com/jp/support/FAQ/1013638
有効にはい、はいいがそのあとの設定がわからない。
受診ファイヤーウォール規則に入れるデータがわからない。
現状は：リモート IP を空欄にすることで、WAN 側の全てのホストからのアクセスを許可。これでいいのか？

確認した結果は:
IPv6パススルーを有効にした時点で安全ではなくなります。
「【パススルーにより不正侵入＝IPｖ6アドレスへのアクセス】というご認識は正しいです。

リモート IP を空欄にしたままでも、 「IPv6 ファイアウォールを有効にする」を「はい」にしておけば、
「IPv6アドレスに対してのWAN側からの不正ネットワーク侵入はファイアウォールのフィルターにより防止され、Ipv6を安全に使うことができる。
またWAN側からの不正ネットワーク侵入はWindows Defenderなどのセキュリティソフトのフィルターによって2重に保護されている。」

です。

上記の答えを得る前の私からの最後の質問は：

いただいた返事と、https://internet.watch.impress.co.jp/docs/column/shimizu/1163817.html
の内容から判断するに、

http://router.asus.com/Advanced_BasicFirewall_Content.asp
の文章は：
IPv6 ファイアウォール
IPv4 環境では LAN 内の PC にはプライベートアドレスが使用されるため、WAN 側から直接アクセスされる危険性が軽減されていましたが、IPv6 環境ではグローバルアドレスが使用されるため、WAN 側からのアクセスの可能性が高まります。IPv6 ファイアウォールでは、WAN から LAN への IPv6 パケット通信の受信ルールを設定することができます。
リモート IP を空欄にすることで、WAN 側の全てのホストからのアクセスを許可することができます。また、サブネットマスクを指定することで特定の範囲の通信を許可します。(例) 2001::1111:2222:3333/64

とあり、Ipv6を使用していいのかどうか、不明であり、 WAN 側の全てのホストからのアクセスを許可することができます。 とあってあたかもWAN側からの全てのアクセスが可能、と読めるため、ユーザーにとってとても不親切なのですが、

リモート IP を空欄に したままでも、 IPv6 ファイアウォールを有効にする、をはいにしておけば、IPv6アドレスに対してのWAN側からの不正ネットワーク侵入はファイアウォールのフィルターにより防止され、Ipv6を安全に使うことができる。また WAN側からの不正ネットワーク侵入は Windows Defenderなどのセキュリティソフトのフィルターによって2重に保護されている。

と言えれば、一般ユーザーにとってやっと理解できることになります。
でした。

とりあえずはメーカーさんの確認を得て一件落着。

書込番号：23360494

[LsLover]

『前回の疑問は：
　IPｖ６ファイヤーウォール：https://www.asus.com/jp/support/FAQ/1013638
　有効にはい、はいいがそのあとの設定がわからない。
　受診ファイヤーウォール規則に入れるデータがわからない。
　現状は：リモート IP を空欄にすることで、WAN 側の全てのホストからのアクセスを許可。これでいいのか？』

以下のFAQに従って、「受信ファイアウォール規則」を登録できませんか?

(1)サービス名
(2)Remote IP/CIDR
(3)ローカルIP
(4)ポートの範囲
(5)プロトコル

[Firewall] IPv6ファイアウォールの設定方法
https://www.asus.com/jp/support/FAQ/1013638/

2. ［IPv6ファイアウォール］のタブをクリックし、設定を有効にします。
==>画像を確認すると「受信ファイアウォール規則(最大： 128)」と表示されています。

3. サーバーリストのタイプを設定します。

4. サービス名、リモートIP、ローカルIP、ポート範囲、プロトコルを入力し、+ボタンをクリックします。

5. 設定が完了したら［適用］ボタンをクリックします。

『 「IPv6 ファイアウォールを有効にする」を「はい」にしておけば、
　「IPv6アドレスに対してのWAN側からの不正ネットワーク侵入はファイアウォールのフィルターにより防止され、Ipv6を安全に使うことができる。
　またWAN側からの不正ネットワーク侵入はWindows Defenderなどのセキュリティソフトのフィルターによって2重に保護されている。」』

「受信ファイアウォール規則」を登録して、外部のグローバルIPv6アドレスから、ご自宅のグローバルIPアドレスへアクセスが可能を確認する。

「受信ファイアウォール規則」を削除して、外部のグローバルIPv6アドレスから、ご自宅のグローバルIPアドレスへアクセスができないことを確認する。

実際に外部のグローバルIPv6アドレスから、ご自宅のグローバルIPアドレスへアクセスが可能/不可を確認しては如何でしょうか?

書込番号：23361036

[Izumitengu]

(1)サービス名
(2)Remote IP/CIDR
(3)ローカルIP
(4)ポートの範囲
(5)プロトコル

これはどこにあるんでしょうか？
ASUSさんに聞きましたが返事なしでした。

なお外からIpv6のグローバルアドレスを見に行っても帰ってこないのは確認済みです。

私は一般ユーザーとして、ルーターを安全に使えればそれでいいわけですが、今回ASUS のマニュアルを読んでも、こうしたらいい、と書いてなかった。（１）−（５）についても、確かにそれを記入すれば、いいですよとは書いてあるが、どこから（１）−（５）を得るのか、書いてない。わかっている人はわかっているんでしょうけどね。
そうでない私にはどうにもなりません。

よろしくお願いいたします。

書込番号：23361090

[LsLover]

『（１）−（５）についても、確かにそれを記入すれば、いいですよとは書いてあるが、どこから（１）−（５）を得るのか、書いてない。わかっている人はわかっているんでしょうけどね。』

IPv4でもIPv6のファイアウォールでも同様に以下の内容を設定します。

(1)サービス名
(2)Remote IP/CIDR
(3)ローカルIP
(4)ポートの範囲
(5)プロトコル

ブロードバンドルータの場合、「受信ファイアウォール規則」を登録しなければ、外部からのアクセスはできない仕様になっています。このため、外部からのアクセスを許可したい場合に、(1)サービス名から(5)プロトコルなどを登録します。

インターネットで「ポートフォワーディング」、「ポートマッピング｝、「ポート転送」、「ポート開放」などで検索すると多くの情報がヒットするかと思います。

ポートフォワーディングの設定方法
https://www.asus.com/jp/support/FAQ/114093/

ポートフォワーディングって何？　その役割とは【2020年版ガイド】
https://ja.wizcase.com/blog/%E3%83%9D%E3%83%BC%E3%83%88%E3%83%95%E3%82%A9%E3%83%AF%E3%83%BC%E3%83%87%E3%82%A3%E3%83%B3%E3%82%B0%E3%81%A3%E3%81%A6%E4%BD%95%EF%BC%9F%E3%80%80%E3%81%9D%E3%81%AE%E5%BD%B9%E5%89%B2%E3%81%A8%E3%81%AF/

書込番号：23361144

[LsLover]

『なお外からIpv6のグローバルアドレスを見に行っても帰ってこないのは確認済みです。』

外部の機器は、IPv6のグローバルIPアドレスが割り当てられていることを確認されたのでしょうか?
外部の機器がIPv4のグローバルIPアドレスが割り当てられただけですと、（ご自宅の）IPv6のグローバルIPアドレスにはアクセスできません。

IPv6のグローバルIPアドレスが割り当てられている外部の機器からご自宅のIPv6グローバルIPアドレスにアクセスできないことをご自身でチェックすることが肝要かと思います。

書込番号：23361174