ルータが外部に通信しようとします

次のような環境で、ADSLでインターネットに接続しています。

【ルータ兼ADSLモデム】　NEC Aterm DR202C
【ルータのLAN側IPアドレス】　192.168.0.1
【PCのLAN側IPアドレス】　192.168.0.2
　※PC1台でネットに接続しています

ルータのパケットフィルタリングの設定において、localhost/255.255.255.0から任意の宛先IPアドレスに対して、宛先ポートが次に該当しない場合は、通信を拒否するように設定しています。

【通信可能な宛先ポート】　20,21,53,80,110,123,443,587

ルータのログを確認したところ、次の内容がありました。
2008/01/06 10:27:50 IP_Filter REJECT TCP 192.168.0.1:22 > 190.24.145.50:44792 (IP-PORT=6)

ログの内容としては、ルータ（192.168.0.1）が（190.24.145.50）のTCP44792番ポートにアクセスしようとして、パケットフィルタリングの設定により、パケットが廃棄されたものだと思います。

なぜ、ルータがこのような通信をしようとしたのか、分かりません。

ルータには時刻合わせの機能がありますが、自動設定（工場出荷時の設定により、NTPサーバに接続）ではなく、手動設定でNTPサーバを指定したため、時刻合わせで上記の通信が発生するとは考えられません。

PCのウイルスチェックを実施しましたが、感染は見つかりませんでした。

このような通信が発生した原因として考えられることを教えてください。

No.1 回答者： calltella 回答日時： 2008/01/06 12:06

2008/01/06 10:27:50 IP_Filter REJECT TCP 192.168.0.1:22 > 190.24.145.50:44792 (IP-PORT=6)

22番のポートも44792番のポートもどちらもSSH通信をしようとしているのだと思います。
おそらくインターネットでどこかのページを見ようとした時に通信しようとしたのではないかと思われます。
該当の時間にどのページを見ていたのか調べれば何かわかりそうですね。

参考URL：http://seifried.org/security/ports/44000/44792.h …

この回答へのお礼

ご回答ありがとうございました。

上記のログが出た時点は、ホームページ閲覧は行っていませんでした。
SSH通信をしようとしたと仮定すると、ルータを第3者に遠隔操作されて
いた可能があるでしょうか？

不正アクセスやウイルス等により、PCまたはルータを不正に操作されて
いないか、心配しています。

ルータのデフォルトの設定により、ルータ自身へのtelnetやwebアクセス
はできないようになっているのですが。

お礼日時：2008/01/06 17:57

No.2 回答者： rinkun 回答日時： 2008/01/07 11:33

前後のログやログ設定も見ないとなんともいえませんが、190.24.145.50:44792からルータにアクセスがあって、ルータが応答しようとしたがパケットフィルターで弾かれたということでは?

外部からのリクエストを何でLAN側アドレスから応答しているのかは謎ですが、ルータがそういう設計かもしれませんし。

この回答へのお礼

ご回答ありがとうございました。

外部からのアクセスに対して、ルータがTCPで応答することがあるんですね。
一般的に、どのようなケースでルータが応答パケットを流すのか、説明している
サイトなどありましたら、教えていただけると助かります。

お礼日時：2008/01/07 22:35

No.3 回答者： celtis 回答日時： 2008/01/07 13:36

当該IPの国別コードを見ると、ウルグアイの管轄みたいですね。

http://whois.ansi.co.jp/?key=190.24.145.50

業務に関連のある国ならともかく、一般的な使い方ではあまりアクセスするようなところでは無いと思います。そのログが記録された時間帯を集計して発生する間隔や頻度を確認し、そのタイミングで動いているプロセスをチェックしてみてはいかがでしょうか？

この回答へのお礼

ご回答ありがとうございました。

本日、PCの電源を入れていない時間帯に、同じようなログが出ていました（以下の通り）。やはり、ルータ単体で発生する現象のようです。

2008/01/07 11:27:12 IP_Filter REJECT TCP 192.168.0.1:22 > 211.53.110.157:45384 (IP-PORT=6)
2008/01/07 11:31:54 IP_Filter REJECT TCP 192.168.0.1:135 > 201.49.2.242:6000 (IP-PORT=6)

お礼日時：2008/01/07 22:43

No.4 回答者： celtis 回答日時： 2008/01/08 00:40

ルータ単独で発信するというのはあまり考えられませんが、何か気持ち悪いですね。

rinkunさんがおっしゃるように、外部からの要求に答えようとしてる可能性もあります。内部から通信可能な宛先ポート(outbound)は制限されているようですが、外部から入ってくるポート(inbound)に対してどのような設定になっているのか確認してみましょう。

特に指定していなければ、そのポートに対してのアクセスは受け付けてしまいますね。ウイルスやアタックによるポートスキャンは、特に珍しくありませんし。わたしは普段使っていない時は、ルータの電源を落としています。万が一、ルータの脆弱性を突いた攻撃があったとしても、電源が入っていなければどうにもできないでしょうし。アングラサイトでは踏み台に適しているグローバルIPのリストを、共有して相互利用しているところもあるそうですから。

http://internet.watch.impress.co.jp/cda/news/200 …
http://blog.japan.zdnet.com/kurei/a/000513.html
http://www.itmedia.co.jp/enterprise/articles/050 …
http://sv2ch.baila6.jp/chk_relay.cgi

この回答へのお礼

ご回答ありがとうございます。

リンク先のクロスサイトリクエストフォージェリという脆弱性は、初めて知りました。私も、ルータにログインした状態で、他のWEBサイトを閲覧していましたので、何らかの影響があった可能性があります。これはルータに限らず、ネットバンク等もログインした状態では、他のサイトは見ない方がいいですね。一応、Firefox+Noscriptで、極力スクリプトは起動しないようにはしていますが、許可しているサイトもありますので。

また、紹介いただいたリンク先で、ルータに割り当てられているグローバルIPをチェックしましたが、踏み台のリストにはありませんでした。

外部から入ってくるポート(inbound)に対するルータの設定は、初期設定＋独自設定です。初期設定は、次のページの通りです。
http://k-net.pinky.ne.jp/ipadsl-aterm.htm
独自設定は、PCで空いているポートを塞いだりしています。

ルータのログを見ると、ルータの135番ポートから外部にアクセスして遮断されたケースもあるため、外部から135番ポートへのアクセスを遮断するフィルタ（宛先IPがAAA.BBB.0.0/255.255.0.0 で宛先ポート135を拒否する設定。AAA.BBBは、ルータに割り当てられるグローバルIP）を入れてみましたが、その後も、ルータの135番ポートから外部にアクセスして遮断されるログが出ました。前後にどんなアクセスがあったのか、単なるブロードバンドルータのため詳しいログが残らず、原因がつかめません。

ちなみに、ルータのファームウェアは最新です。ただし、ここ何度か、ファームの初期化をしています（フィルタの設定を誤ってしまい、宛先80番ポートにアクセスできなくなってしまったため）。初期化しても、ファームは最新版でした。

お礼日時：2008/01/08 23:20

No.5 ベストアンサー 回答者： rinkun 回答日時： 2008/01/08 15:55

ANo.2です。

一般論として、TCPコネクション要求が来れば対応は受理(accept)/拒否(reject)/無視の何れかですね。無視はともかく受理/拒否ならパケットを送信することになりますが、これはTCPパケットです。

ANo.2で外部からのアクセスに対する応答ではないかと書いているのは、ローカル側(22)がwell-knownポート(ssh)で外部側(44792)が予約済みポートでもないからです。通常、TCP通信はクライアントからサーバが待機している予約済みポートにアクセスすることで開始します。同様にポートスキャンや攻撃もサーバが待機しているポートを対象に行います。このことからルータが開始した通信というより外部から開始された通信と考えるほうが自然に思います。
# ウィルス等が使用するポートの一覧も探してみましたが44792を挙げているところは見つかりません

この回答への補足

2007/1/13（質問者書き込み）

ルータのパケットフィルタリングの設定において、192.168.0.1（ルータのLAN側IPアドレス）のTCP22番ポートおよびTCP135番ポートへのアクセスを遮断したところ、問題のログは出なくなりました。

代わりに、次のようなログが出るようになりました。
2008/01/13 21:07:35 IP_Filter REJECT TCP 220.66.87.8:22106 > 192.168.0.1:22 (IP-PORT=6)
2008/01/13 21:08:22 IP_Filter REJECT TCP 125.65.112.204:6000 > 192.168.0.1:135 (IP-PORT=6)

以上のことから、分かったことは、

【状況】
　外部から、ルータのLAN側アドレス（192.168.0.1）の22番ポート・135番ポート
　にアクセスがあり、ルータがそれに応答している。

【疑問】
　(1)なぜ、外部からプライベートIPアドレスにアクセスできるのか？
　(2)なぜルータは応答しているのか？（できるだけ応答しないようにしてほしい）

新たな疑問もありますが、状況は分かりました。ありがとうございました。

補足日時：2008/01/14 00:19

この回答へのお礼

ご回答ありがとうございます。

やはり外部からのアクセスに要因がありそうですので、まずは、inboundに
対するフィルタリングを追加して、様子を見ることにします。

お礼日時：2008/01/09 00:42

No.6 回答者： rinkun 回答日時： 2008/01/17 13:55

ANo.5補足の疑問について。

(1)外部からのアクセスはプライベートIPアドレスに対して行われているのではなく、外側のグローバルIPアドレスに対して行われているのでしょう。
ルータの設計として外部アドレスへのアクセスが一旦内部アドレスへのアクセスにルーティングされてから受け付けられているのだと思います。
(2)これもルータの設計の問題ですね。必要なパケット以外は一切無視するのが望ましいですが、難しいのでしょうかね。