前の記事でSygate Personal Firewall(以下SPF)のアドバンスドルール作成を図入りで説明。今回はブラウザ、メール、FTPソフト等個別のアドバンスドルールの詳細を書き留めておきます。
前回も書いていますが、私はネットワーク系の知識は乏しく、半分は自分用の覚書きであり、間違った情報もあるかと思いますので、このページに辿り着いた各自がご自分で調べて設定を行うことをお勧めします。
ブラウザの送受信許可
前項をまとめたものプラス受信側の設定| ルールの説明 | 動作 | リモートホスト | 通信の向き | プロ トコル | リモート | ローカル |
| ブラウザ受信許可 | 許可 | すべてのアドレス | Outgoing | TCP | 21,70,80,443 | 1024-4999 |
| ブラウザ受信許可 | 許可 | すべてのアドレス | Incoming | TCP | 20 | 1024-4999 |
受信のポート番号は20(FTP)を指定しておけば、あとは大丈夫みたい。
ちなみに「禁断の壷」はIncoming側には指定しなくても作動する
メールの受信許可
メールの送受信許可は以下。通信の向きはOutgoingのみで大丈夫。| ルールの説明 | 動作 | リモートホスト | 通信の向き | プロトコル | リモート | ローカル |
| メール受信許可 | 許可 | すべてのアドレス | Outgoing | TCP | 25,110 | 1024-4999 |
メールアドレスを数個しか持っていないのならリモートホストにはメールサーバーのアドレスを記入した方が絶対安全。
ちなみにSPFを使用しているとインターネットエクスプローラ(IE)のメールボタン経由でOutLook Expressはメールの送受信は出来ない。
▲IEからの呼び出しではメールの送受信が出来ない
SPFのオプション「アプリケーションハイジャックを防止
」機能がIE経由でOutLook Expressのメール送受信をストップさせているのだ。
「アプリケーションハイジャックを防止」を外すのも危険な気がするので、多少不便になると思うかもしれないが 以後もOutLook Expressでメールを読みたいならばスタートメニューから、またはショートカットからの起動をする事。
FTPの送受信許可
| ルールの説明 | 動作 | リモートホスト | 通信の向き | プロトコル | リモート | ローカル |
| FTP-PSV | 許可 | すべてのアドレス | Outgoing | TCP | 1024-65535 | 空欄 |
| FTP送信 | 許可 | すべてのアドレス | Outgoing | TCP | 21 | 1024-4999 |
| FTP受信 | 許可 | すべてのアドレス | Incoming | TCP | 20 | 1024-4999 |
最近のレンタルサーバーはPSV(パッシヴ)モード対応の所が多く、送受信だけでなくPSVモードの設定もしておかないとサーバーへの接続が出来ない。
LSAの遮断
これも良く解らないが、LSAというものも遮断したほうが良いらしい。ファイアウォールを使うのだから、遮断できるものは遮断してしまっておこう。
考えるのは不都合が出てからにする。
| ルールの説明 | 動作 | リモートホスト | 通信の向き | プロトコル | リモート | ローカル |
| LSA遮断 | 遮断 | すべてのアドレス | Incoming | TCP | 空欄 | 空欄 |
現状、遮断した事に対しての不具合・不都合は出ていない。
上記までを一通り設定すれば、オンボードのLANを使用していれば普通にネット接続が可能。しかし、USBポートから無線LAN等で接続をしていると、上手く接続できなかったりする。
USB機器の接続(無線LANの受信許可等)
USB機器の接続が上手く行かない時は、SPFが吐き出すログを参照に許可を作成する。以下はあくまでも当方で作動の確認をとったものであり、万人向きでは無いと思う。
| ルールの説明 | 動作 | リモートホスト | 通信の向き | プロト コル | リモート | ローカル |
| 無線LAN受信許可 UDP | 許可 | 192.168.0.1 -192.168.0.255 | Incoming | UDP | 53,68,138,1069, 1900,2100-2300 | 空欄 |
| 無線LAN送信許可 UDP | 許可 | 192.168.0.1 -192.168.0.255 | Outgoing | UDP | 53,138,1900 | 空欄 |
| 無線LAN送受信 許可TCP | 許可 | 192.168.0.1 -192.168.0.255 | Both | TCP | 2110,2111 | 空欄 |
プロトコルUDPは、インターネットに接続している場合は、安易にポートを開くべきではないと思うが、現状システムファイルのUDP接続を一部許可してやらないと接続できないUSB機器がある。
なんか危なっかしいのでSFPのログを辿ってみると、IPアドレス239.255.255.250へ頻繁にパケットを送信している。大丈夫だろうか?
Windows Me/XP 起動時に 239.255.255.250 へのパケットが送信されます
上記を読む限り、大丈夫な気がしてきた。USB機器の接続が上手く行かない場合はポート1900番関係を使うシステムファイルを上記ルールに追加、調整を行う事にする。
ちなみに接続成功すれば、それ以降のパケットを全て遮断しても不具合なく作動するので、接続時のみ許可すると云う方法もありだと思う。
最後に適応するルールの優先順位を作成する。
▲青い上下ボタンで作成したルールの順番を動かす。
優先順位は上から順に高くなる。
アドバンスドルールの適用は個別のアプリケーションのルールより優先度が高く、アプリのルールで「遮断」を選んでいても「アドバンスドルール」側で許可していれば、それが優先される。
あとは、ネット接続、LAN内接続に不具合が出るたびにSPFのログを確認していけば、それなりに堅固なセキュリティ設定が出来上がると思う。
以上。前回も紹介したが今回までの一連記事は以下リンクを非常に参考にさせて頂いた。大変感謝である。SPFの設定、セキュリティ関連の情報が欲しい方は、このページよりずっと参考になるので、一読をお勧めする。
自宅サーバーを構築しよう
Sygate Personal Firewall 5.5
▲ありがとうございました。