Aterm BL902HW のファイアーウォールの初期設定

au ひかりマンション(VDSL タイプ)用の HGW である Aterm BL902HW について、初期状態でのファイアーウォールの設定について調べてみた。

WAN 側インターフェース
種別方向プロトコル送信元送信元ポート宛先宛先ポート優先度
廃棄outUDPanyanyany137-1391
廃棄outTCPanyanyany137-1392
廃棄outUDPanyanyany4453
廃棄outTCPanyanyany4454
廃棄outTCPanyanyany20495
廃棄outUDPanyanyany20496
廃棄outTCPanyanyany12437
廃棄outTCPanyanyany123458
廃棄outTCPanyanyany273749
廃棄outTCPanyanyany3178510
廃棄outUDPanyanyany3178911
廃棄outUDPanyanyany3179112
廃棄inTCPanyanyany124313
廃棄inTCPanyanyany1234514
廃棄inTCPanyanyany2737415
廃棄inTCPanyanyany3178516
廃棄inUDPanyanyany3178917
廃棄inUDPanyanyany3179118

一見複雑なようだが、全て廃棄するルールで、送信元ポートは全て any であり、重複してエントリーされているものがあるので、宛先ポート毎にまとめて考えれば、かなり単純だと思う。独自に宛先ポート毎の表にしてみた:

WAN 側インターフェース
宛先ポート方向プロトコル備考
137-139outTCP/UDPNetBIOS over TCP/IP (Windows)
445outTCP/UDPDirect Hosting of SMB (Windows)
2049outTCP/UDPNFS (UNIX)
1243in/outTCPトロイの木馬
12345in/outTCPトロイの木馬(NetBus)
27374in/outTCPトロイの木馬(SubSeven)
31785in/outTCPトロイの木馬(Hack'a'Tack)
31789in/outUDPトロイの木馬(Hack'a'Tack)
31791in/outUDPトロイの木馬(Hack'a'Tack)

こうしてみると、ネットワークドライブ用のプロトコルが外に出ていかないようにする設定が 137-139, 445, 2049 であり、残りは全てトロイの木馬対策だということがわかる(世の中に存在するトロイの木馬の利用するポートが、これで網羅できているとは到底思えないが。他の NEC 製ルーターも基本的にこの設定がデフォルトのようである ex. WG1200HP)。大きな違いが、前者のグループは単に out のみの設定なのに対し、後者のグループは in/out 両方向を設定している点である。どの道 WAN 側からのアクセスについてはデフォルトで全て無効だと思うのだが、in の破棄を明示的に設定することによって、ルーターが一旦受け取って LAN 側にフォワードする(その段階で破棄する)以前に、端からパケットを門前払いするということを意味するわけだが、実用的にそれ以上の何らかの意味があるだろうか?

コメント

このブログの人気の投稿

EP-805A 廃インク吸収パッド交換

m3u8 ファイルをダウンロードして ffmpeg で MP4 に変換・結合

WZR-HP-AG300H with OpenWrt