パケットフィルタの設定の仕方について

パケットフィルタの設定の仕方について質問させてください。
IPアドレスを偽装してプライベートアドレス(192.168.0.2、10.0.0.1等）を名乗って
WANからLANに進入してくるアクセスを遮断したいと考えています。
ルータはNTT の RT-200NE、 ルータ自身のLAN側 IPアドレスは 192.168.0.1/255.255.255.0
になっています。

パケットフィルタの設定で、「方向（順方向／逆方向）」という項目があるのですが、
これはルータから送り出す方向が順方向、ルータに入ってくる方向を逆方向と
考えればいいでしょうか？

また、その場合、
「WAN側のインターフェイスに対して、送信元 192.168.0.0/16、宛先 *、逆方向」を拒否しても、
「LAN側のインターフェイスに対して、送信元 192.168.0.0/16、宛先 *、順方向」を拒否しても、
同じ事のような気がしますが（？）、どちらにかけるのが正しいのでしょうか？

No.2 回答者： shitaba 回答日時： 2011/02/27 01:17

ANo.1 です。

> そうすると、二つ目の質問は順／逆 読み替えて
> 頂きたいのですが、その場場合、同じなのでしょうか？
> お勧めはWAN側で設定とのことですが、LAN側では
> ダメなのでしょうか？

ダメです。

『送信元 192.168.0.0/16、宛先 *、逆方向を拒否』の場合、ルータ(宛先*)→PC(送信元192.168～)への通信が拒否されます。つまり、ルータ（ネット）からの受信が一切出来なくなります。
また、PC(宛先*)→ルータ本体(送信元 192.168.0.1)への通信も拒否され、ルータがLAN側から設定不能になります。

どうしてもLAN側で設定したい場合は、
『送信元 192.168.0.0/16、宛先 *、逆方向』を拒否した後
『送信元 192.168.0.0/24、宛先 *、逆方向』を許可することになります。


しかし、この設定では、
・WANから送信元 192.168.0.0/24 で来た進入を遮断できない
・そもそもLAN側の遮断では、WAN側からルータ本体への攻撃を防げない
という問題が解決できません。そういう意味も含めて、WAN側で遮断することをお勧めします。

No.1 回答者： shitaba 回答日時： 2011/01/16 17:53

投稿からだいぶ経っているのでまだ見てらっしゃるかわかりませんが……

○順方向／逆方向
　違います。送信元→宛先 が 順方向、送信元←宛先 が 逆方向 です。単純に『あいだの矢印』がどっちを向いているかを示しているわけですね。
　つまり、『 送信元 Ａ、宛先Ｂ、順方向 』と『 送信元 Ｂ、宛先Ａ、逆方向』は同じ内容です。

○WAN側インターフェイス、LAN側インターフェイス
　同じではありません。
　　WAN ： 送信元 192.168.0.0/16、宛先 *、逆方向
　　　⇒ 全IPから 192.168.x.x へのアクセスをルータとWANの間で拒否します。
　　　　　ルータのWAN側アドレスは192.168.x.xではないので意味がありません。
　　LAN ： 送信元 192.168.x.x/16、宛先 *、順方向
　　　⇒ 192.168.x.x から全IPへのアクセスをルータとLANの間で拒否します。
　　　　　LAN から WAN に繋げなくなります！

今回の場合は、WAN側インターフェイスで 『送信元 192.168.0.0/16、宛先 *、順方向』 のように設定すると良いでしょう。

この回答への補足

ありがとうございます。
最初の質問が逆に理解していたのですね。
そうすると、二つ目の質問は順／逆 読み替えて頂きたいのですが、
その場場合、同じなのでしょうか？
お勧めはWAN側で設定とのことですが、LAN側ではダメなのでしょうか？

補足日時：2011/01/24 02:24