tracert コマンドが必ずtime out

tracert コマンドが必ず2行目以降全て request time out となってしまいます。
ルーター宛の tracert と、LAN 内の PC 宛でしたら成功しますが、
インターネット上の、例えば yahoo.co.jp 宛や google.com 宛など、
どのようなサイトも、IP アドレスで指定しても全て失敗してしまいます。

環境は以下の通りです。
・PC
　Windows XP Home Edition SP2
・ルーター
　Aterm WD605CV

yahoo.co.jp 宛のtracert コマンドの結果は以下の通りです。

------------------
C:\WINDOWS\system32>tracert yahoo.co.jp

Tracing route to yahoo.co.jp [124.83.139.192]
over a maximum of 30 hops:

1 <1 ms <1 ms <1 ms warpstar-42dcb4 [192.168.0.1]
2 * * * Request timed out.
3 * * * Request timed out.
4 * * * Request timed out.
5 * * * Request timed out.
6 * * * Request timed out.
7 * * * Request timed out.
8 * * * Request timed out.
～～

--------


LAN 内 PC 宛の tracert コマンドの結果は以下の通りです。

--------
C:\WINDOWS\system32>tracert 192.168.0.4

Tracing route to 192.168.0.4 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms 192.168.0.4

Trace complete.

--------

何が原因と考えられるでしょうか。tracert というコマンドの存在を知ったのは5年ほど前ですが、
当時から一度もインターネット側の tracert に成功したことがありません。
環境は当時からずっと同じです。

また、何か必要な情報がありましたら補足いたしますのでご指摘下さい。
どなたか、原因がわかる方アドバイスの方よろしくお願い申し上げます。

No.4 ベストアンサー 回答者： koi1234 回答日時： 2010/12/11 20:39

#3 念のため補足しておきますが

>ルータからPC間に対してパケット通過させるための機能ではないと思われます
と書きましたが設定してないのにLAN間では問題ないから↑はありえない
とか言わない（思い込まない）ようにしてください

LAN間通信ではこの設定は影響しません

外部からのICMPパケットをルータがLAN内に通過させるための設定が
該当の設定となります
　　ルータのPing応答有効にしてもルータ内部の処理で終わります
　　経路上としてルータ->PC間で尚且つ外部からのICMPに対するパケットが
　　フィルタされていると考えられます

この回答への補足

ご親切なアドバイス有難うございます。
外部からのICMPパケットをルータが通過させる設定が必要ということですね。
これは、例えば、LAN 内のマシンから ping や tracert コマンドで
ICMP パケットを発信して、外から帰ってきた応答のみを許可する、
といった振り分け方はできるのでしょうか。
そのような ICMP パケットの通過を許可するフィルタを追加しようと思い、
ルータのLAN 側インターフェースにて、下記のような設定をしました。

その後、再度 ping 、tracert を試してみたのですが、
結果は同じで、request time out しか返ってきませんでした。
以下のような設定で、何が問題なのかおわかりになりますでしょうか？

-----------------------
追加設定したパケットフィルタ
（パケットフィルタリングの設定の解説ページまで有難うございました。
　こちらは、Aterm WARPSTAR WD605CV(C) という型番でして、
　型番について、これ以上は把握できませんでした。）

　※「LAN 側」のチェックのみオンにしています。
　フィルタ種別 : 通過
　送信元IP アドレス : 192.168.0.0/16
　宛先IPアドレス : *
　プロトコル種別 : ICMP パケットの通過を許可
　方向 : 順方向

（順方向の意味は、
　「送信元と宛先が入れ替わったパケットは、フィルタを適用しない」
　ということだと思って、指定しています）
-------------

補足日時：2010/12/11 23:35

この回答へのお礼

お礼の欄にて追記させて頂きます、失礼致します。
先ほど、設定を一部変えたところ、うまく外部宛の ping と tracert が
成功致しました。有難うございました！

設定内容は以下の通りです。

--------
上記補足の設定において、さらに穴を広げたような形で設定致しました。
上記設定から変更した部分は以下の通りです。

　方向：両方向
　（送信元と宛先が逆になったパケットも通過を許可する）
　適用するインターフェース：LAN 側、WAN 側。
　（「LAN 側」、「WAN 側」インターフェースの両方にチェック。）
------

お礼の欄に書いてしまって申し訳ないのですが、
この設定の場合、ICMP パケットに対して、ほぼ完全にオープンな状態になっているように思われます。
この設定内容について、LAN 内から外向けの ping、tracert が通るようにしたいだけの場合、もう少し通過許可の条件を絞ることはできないでしょうか。
自宅サーバーを立てようと思っているため、できればなるべく穴を
小さくしたいと思っています。こういった場合の設定方法や参考になるサイトなどご存知ないでしょうか。

もうしばらくお返事を待たせて頂きたいのですが、
今回の問題については、ひとまず ping と tracert が通り、ほぼ解決致しました。また追って別の質問として立てさせて頂くかもしれませんが、今回は誠に有難うございました。

お礼日時：2010/12/12 00:11

No.6 回答者： koi1234 回答日時： 2010/12/12 00:37

ついでに書いとけということで追記

ICMPの開放については解決策のように両方向許可しないとダメです
今まで片方向で記載してましたが（送信受信で）同じことが言えます

この回答への補足

有難うございます！とても参考になります。

TCPプロトコルのように、一度コネクション？が成立したら
応答は自由に受け取れる、というようなことが ICMP でも
用意されていないかな、と
未熟な知識ながら思ったのでした。
出鱈目な発想ですみません。

そういうことは不可能であって、
ICMP パケットは要求も応答もそれぞれ許可しないといけない、
それか、高価なルータで動的フィルタ！を行う、
ということがわかり、すっきり致しました。

今の状態だと、外部からの ping や tracert の要求も、
うちのルータが通過許可する形だと思いますが、
これはお互い様ということなのですね。
すみません、これについては今度自分で確認しておきます。

ping 、tracert が使えなかった原因が明確になり、
感謝しています。使えるようになって嬉しいです。

今後、もっと勉強を進め、高価なルータを買っ・・
Linux をルータ化してみたりなど、頑張りたいと思います。
有難うございました！

補足日時：2010/12/12 01:47

この回答へのお礼

昨日は遅くまで有難うございました。
お陰様で無事 tracert、ping ともに使えるようになりました。

一度やってみたかったのですが、
tracert でアメリカのサイトまで経路を辿るなどして楽しんでいます。

また、予想していた通りの動作ですが、
自分のグローバルIP宛にpingを打つと、応答が返ってくるようになりました。
外部からも見られているということですね。
動的フィルタのことも調べつつ、よりきめ細かな通過フィルタリングができるよう
勉強していきたいと思います。

ちなみに、ルータの接続先設定は「PING応答機能」をオフにしたままです。
ここでオフにしていても、パケットフィルタで通過させる設定があれば、
通過されるのですね。

今回はいろいろなことが勉強でき、
今後役に立つコマンドも使えるようになったのでとても良かったです。

有難うございました。

お礼日時：2010/12/12 15:43

No.5 回答者： koi1234 回答日時： 2010/12/12 00:34

書いてる途中でお礼が書かれてるのに気が付きました全文見てないですが

とりあえず書きかけてるので要点だけ

>これは、例えば、LAN 内のマシンから ping や tracert コマンドで
>ICMP パケットを発信して、外から帰ってきた応答のみを許可する、
>といった振り分け方はできるのでしょうか。
これは動的フィルタといった名称で呼ばれ（メーカによって多少異なるよび方かもしれません）
家庭向けの汎用ルータの大抵はサポートしていないと思います
もう少し高級なルータ使えばできます（といっても私はYAMAHAルータしか知らない）
（多分2万以下程度の物ではほとんど全滅ではないかと思います）
　全て静的フィルタでポート（パケット）は常に通過させる設定のみしかできない
　ということです

No.3 回答者： koi1234 回答日時： 2010/12/11 20:23

#1です

Pingも通らないということですので間違いなく
ルータでフィルタリングされていると思われます

>このプロバイダ側で止められている（プロバイダを変えるしかない）ということもあるのでしょうか？
まず考えられません
　　以前nifty使っていたとき使っていますしそんな基本的なところを塞ぐ
　　プロバイダは存在しないと思われます

>これをオンにしても結果は同じでした。
とありますがそれだけでは足り無いと思われます
これは外部からルータに対してPingを行ったときに応答するものであって
ルータからPC間に対してパケット通過させるための機能ではないと思われます

フィルタ設定でICMPパケット通過の設定ができませんか？

WD605CVは末尾型番でいくつか仕様が分かれているのかもしれませんが
（数種類のロット？が製造しているためマニュアルが複数に分かれています）

下記のようなフィルタリング設定画面があるはずです
http://www.aterm.jp/function/guide/web-data/j-al …
ICMPプロトコルを通過設定してください
適切な設定すれば動くようになるはずです（ルータ変更の必要は無いと思われます）

No.2 回答者： n_kudoujp 回答日時： 2010/12/11 08:19

タイムアウトになる一番多い原因は、tracertで使われているICMPプロトコルを、

途中のルーターが通過させないように弾いている場合ですね。
これはDOS攻撃などを防ぐためで、ICMPを止めているルータは結構多いですよ。
ちなみにpingもICMPを使用しているので、途中で止められると思います。

指定サーバまで通信が確立していることを確認したいのであれば、
XPならネットシェルコマンドがあったはずなので、それでポート指定して、
HTTPプロトコルなどで、通信できるか確認してみると良いと思いますよ。

コマンド例：netsh diag connect iphost （IPまたはホスト名） （ポート番号）


実際にyahooサーバに対して、80番ポート(HTTPプロトコル)で実行するとこんな感じになる。

------------------

C:\>netsh diag connect iphost yahoo.co.jp 80

IPHost (yahoo.co.jp)
IPHost = yahoo.co.jp
Port = 80
サーバーは次のポートで実行中と思われます [80]

------------------

閉じられているポートを指定するとこんな感じになる。

------------------

C:\>netsh diag connect iphost yahoo.co.jp 23

IPHost (yahoo.co.jp)
IPHost = yahoo.co.jp
Port = 23
サーバーは次のポートで実行中と思われます [なし]

------------------

古くからPCを使っている方であれば、telnetの方が馴染みがあるかも知れないですね。
これだとサーバの応答は確認できますが、途中のHOP数まではわからないので、
HOP数を知りたい場合は、デフォルトルーターから数えるしかないのかな＾＾；

この回答への補足

有難うございます。
netsh diag connect iphost コマンドを試してみました。
結果は正しく応答がありました。以下の通りです。

--------
C:\WINDOWS\system32>netsh diag connect iphost yahoo.co.jp 80

IPHost (yahoo.co.jp)
IPHost = yahoo.co.jp
Port = 80
サーバーは次のポートで実行中と思われます [80]
--------

> これはDOS攻撃などを防ぐためで、ICMPを止めているルータは
> 結構多いですよ。ちなみにpingもICMPを使用しているので、
> 途中で止められると思います

どのサイトにもtracertができないことを考えると、私の家のルーターがICMPを止めてしまっているということなのでしょうか？
この場合、ルーターを買い換えるしかないのでしょうか？
別のPC（Vine Linux）からtracerouteを試してみても同じ結果でした。
ちなみに、回線は、eaccess の adsl でして、プロバイダは@niftyです。
このプロバイダ側で止められている（プロバイダを変えるしかない）ということもあるのでしょうか？

No.1 の方にお伝えする方法がなかったのでここに書かせて頂きますが、ping を試してみたところ、やはり通りませんでした。インターネット上への ping について、以前成功したことがあったと思ったのですが、勘違いだったのかもしれません。すみませんでした。

補足日時：2010/12/11 16:59

この回答へのお礼

netsh コマンドの存在についてお教え頂き、誠に有難うございました。いろいろなコマンドがあるのですね。
デフォルトルータからHOP数を数える、などといった芸当があるとは知らず、今度そのことについても調べてみたいと思います。
ようやく ping、tracert のフィルタを全開にして使えるようになりましたので、いろいろ照らし合わせて勉強したいと思います。
アドバイス頂き、とても嬉しかったです。有難うございました。

お礼日時：2010/12/12 01:56

No.1 回答者： koi1234 回答日時： 2010/12/11 07:53

ICMP関連のパケット通過をルータ設定で

フィルタリングしてるのではないでしょうか？
http://itpro.nikkeibp.co.jp/article/COLUMN/20060 …

pingなどもできないのと違います？

この回答への補足

ping は内部LAN、インターネットサイトともに正しく通ります。
また、Tracert を実行した際にも、それと思われる IP が表示され、
nslookup で確認することもできています。
教えていただいたURLを拝見いたしました。

このような状況でも、ルーター側で ICMP 関連の設定に問題がある場合はあるのでしょうか。ルーターはNEC社製のAterm WARPSTAR WD605CVですが、「接続先設定」のメニューにある「PING応答機能」のチェックはオフになっています。これは、WAN側からPINGコマンドを打たれた場合に応答を返さない設定だと思うのですが、これをオンにしても結果は同じでした。

補足日時：2010/12/11 16:48