| インターフェース | 動作 | 宛先IPアドレス | 送信元IPアドレス | プロトコル | 説明 |
| LAN(OUT) | 無視 | ALL | ALL | URLフィルタ(URLフィルタ設定画面参照) | 「URLフィルタ」に必要(*1) |
| LAN(OUT) | 無視 | ALL | ALL | TCPポート: 135, 137-139, 445 | Microsoft NETBIOS,DNS周辺 念のため。不要かもしれん |
| LAN(OUT) | 通過 | smtp server1 | ALL | メール送信(SMTP, TCPポート:25) | smtpサーバ1(*2) |
| LAN(OUT) | 通過 | smtp server2 | ALL | メール送信(SMTP, TCPポート:25) | smtpサーバ2(*2) |
| LAN(OUT) | 無視 | ALL | ALL | メール送信(SMTP, TCPポート:25) | それ以外のsmtpに接続禁止(*3) (spam対策) |
| LAN(OUT) | 通過 | ALL | ALL | UDPポート: 53, 123 | DNSとNTPだけ開ける |
| LAN(OUT) | 無視 | ALL | ALL | UDPポート ALL | 念のため外へ出て行くUDPも制限 |
| 以下、外からのパケットを制御 | |||||
| WAN(IN) | 通過 | ALL | ALL | UDPポート 68 | プロバイダからDHCPを受け取る(*4) |
| WAN(IN) | 無視 | ALL | ALL | TCPポート ALL | 外から来るものは原則閉じます(*5) |
| WAN(IN) | 無視 | ALL | ALL | UDPポート ALL | 外から来るものは原則閉じます(*5) |
TCP,UDP共に原則制限し(*5)、受け取るのはプロバイダからのDHCP(UDP:68)のみ(*4)。
※外からのTCPをはじくと、FTPの非PASVモードが使えなくなりそうですが、問題なく使えます。
おそらくルータの内部で、こちらから外部ホストのport21につないだ場合、其のホストのport20からの接続は特別に許可する
というアルゴリズムにしているとしていると推測。
(*4)
プロバイダからアドレスを自動的に割り当てられる場合は68ポートを受け取れるようにしておくことが必要。
UDPは原則制限し、DNS名前問い合わせ(UDP:53)と時刻合わせ(UDP:123)のみ通過。
TCPは原則解放。ただし、smtp接続(TCP:25)については、限られたホストへのみ。
(*2)(*3)
ウイルスに感染しspamメールの踏み台になった場合のことを考えて、被害を最小限にするために、
smtpポートは原則閉じて(*3)、普段使っているsmtpサーバへの接続だけを許可(*2)します。(自分のところは2カ所)
よくわからない場合はこの制限はしない方がいいです。
また、Radishなどの、portable smtp serverを使っている場合は、この制限をしてはいけません。
※2012.5追記
最近は25番をメール送信のポートに使っているプロバイダは減っており、465番や587番ポートを使っていることが多いです。
その場合は(*2)の行は不要で、(*3)の行で25番の制限だけしておけばいいです。
| LAN(OUT) | 通過 | ALL | ALL | WWW(HTTP, TCPポート:80,3128,8000,8001,8080) | 通常のブラウジング許可 |
| LAN(OUT) | 通過 | ALL | ALL | Secure HTTP(HTTPS, TCPポート:443) | httpsでのブラウジング許可 |
| LAN(OUT) | 通過 | ALL | ALL | メール受信(POP3, TCPポート:110,995(SSL)) | メールの受信許可 |
| LAN(OUT) | 通過 | ALL | ALL | FTP(FTP, TCPポート:21) | 自分のホームページ更新等、FTP接続許可 |
| LAN(OUT) | 無視 | ALL | ALL | TCPポート ALL | 内から外も制限する |
(おまけ)
(*4)(*5)
自分のところでは、この3行を以下の3行にしています。
ICMPを含め全て制限し、プロバイダからのアドレス割り当て(DHCP)のために 218.xxx.yyy.0/20 からのICMP,UDP:68を許可。
ただ、プロバイダ側の設定が変更になった場合につながらなくなる恐れがあるので、ここまでする必要はないと思います。
| WAN(IN) | 通過 | ALL | 218.xxx.yyy.0/20 | UDPポート 68 | プロバイダからDHCPを受け取る |
| WAN(IN) | 通過 | ALL | 218.xxx.yyy.0/20 | ICMP | アドレス割り当てのためのもの |
| WAN(IN) | 無視 | ALL | ALL | 全てのプロトコル | 外から来るものは全て閉じます |
| URLアドレス | 説明 |
| download.jword.jp | JWORDのpopupが出なくなります |
| www.jword.jp | |
| banners.freett.com | これも同じようなものです |
| グループ | WAN側IPアドレス | プロトコル | LAN側IPアドレス | LAN側ポート | 説明 | |
| Group1 | ブロードステーションのWAN側IPアドレス | TCPポート:aaa | <---> | 192.168.11.2 | TCPポート:aaa | aaaポート解放 |
Kerio Personal Firewall(以下KPF)でもう少し、厳しく設定する。 ※最近はCOMODO Internet Securityが定番のようです(2009夏追記) 上記ルータの設定では、"内から外へ"のTCP接続は原則制限しませんでした。 これは、PCによって用途が違うので、ルータでは原則は開放とし、必要に応じて各PCで out を制限しようという趣旨です。 各PCで、しかもアプリごとに接続を制限するツールのが KPF です。 ■Kerio Personal Firewall設定(入手はここから)
| Discription | Direction | Action | Local | Remote | protocol | Application |
| NETGAME | → out | Permit | Any | Any | TCP, UDP | ネットゲームアプリへのPATH |
| IE | → out | Permit | Any | Any | TCP, UDP | c:\program files\internet explorer\iexplore.exe |
| FTP | ⇔ both | Permit | Any | Port: 20, 21 | TCP | FTPソフトへのPATH @非PASV mode |
| Mailer | → out | Permit | Any | Port: 25, 110 | TCP | メーラーへのPATH |
| TRUSTED | ⇔ both | Permit | Any | 127.0.0.1, 224.0.0.1, 192.168.11.0/24 | Any | Any |
| IN_PASS | ← in | Permit | Port:aaa, 68 | Remote | TCP, UDP | Any |
| OUT_PASS | → out | Permit | Local | Port: 53, 67, 123 | Any | Any |
| IN_CUT | ← in | Deny | Any | Any | Any | Any |
| OUT_CUT | → out | Deny | Any | Any | Any | Any |