不正アクセス報告

クライアント側のアドレスはなんでしょうか。たとえば 192.168.1.4 だとすると
192.168.1.0/24
などとなります。もちろん 192.168.1.4 と限定してもいいです。
/24 はネットマスク表記で数多くのアドレスを簡便に表現する方法です。例えば
http://www.atmarkit.co.jp/fwin2k/network/baswinlan007/baswinlan007_03.html
などを参考にしてください。一般のブロードバンドルータはいわゆるクラスCというアドレス空間を通常用いています。
http://buffalo.jp/pd/router/index.html

自己レスです。
> ただ、いろいろ入力を試していてIPアドレスの入力欄に <<10.0.1.0/24>> と括弧付きで入力してしまったら削除できなくなってしまいました (^^;
Restore default service list で元に戻すことができました。
ただ、SMBへのアクセスをローカルネットワークのみに許可するようにして設定を保存したところなぜかネットにつながらない状態に。
あれこれ調べていると、DHCPサーバから正常に自動取得されると10.0.1.*となるはずがなぜか169.254.*.*というIPが取得されている？
設定をデフォルトに戻したら元通りネットにつながるようになったのですがなんなんでしょうか・・・　さっぱりです。

>SMBへのアクセスをローカルネットワークのみに許可するようにして設定を保存したところなぜかネットにつながらない状態に
SMB 以外のを全部禁止にしてしまった(なので、DHCPサーバとのやり取りも出来ない状態)のでは？
ターミナルでsudo ipfw list としてみるとどんなふうに出ますか？
自分には、結局この手のツールは、最初何も分からないときに、設定の手段としては使えるけど、最終的には、ターミナルでどんな設定がされたか見ながらやらないとどうなっているか分からないと思うのですが。逆に、ターミナルでリストを見れば、どのポートが何を表しているか分かっていさえすれば、ほとんどは簡単な論理学で分かる程度(小中学生でも分かる程度)のものですし、結局ターミナルで設定する方が早いと思うようになるのではないかと思います。

> ターミナルでsudo ipfw list としてみるとどんなふうに出ますか？
00100 allow ip from any to any via lo*
10100 deny log tcp from any to any dst-port 22 in setup
10110 deny udp from any to any dst-port 22 in
10200 deny log tcp from any to any dst-port 23,514,513 in setup
10210 deny udp from any to any dst-port 23,514,513 in
10300 deny log tcp from any to any dst-port 53,67,68,123,5353 in setup
10310 deny udp from any to any dst-port 53,67,68,123,5353 in
10400 deny log tcp from any to any dst-port 80 in setup
10410 deny udp from any to any dst-port 80 in
10500 deny log tcp from any to any dst-port 515,631 in setup
10510 deny udp from any to any dst-port 515,631 in
10600 deny log tcp from any to any dst-port 548 in setup
10610 deny udp from any to any dst-port 548 in
10700 deny log tcp from any to any dst-port 20-21 in setup
10710 deny udp from any to any dst-port 20-21 in
10800 deny log tcp from any to any dst-port 3031 in setup
10810 deny udp from any to any dst-port 3031 in
10900 deny log tcp from any to any dst-port 3283 in setup
10910 deny udp from any to any dst-port 3283 in
11000 deny log tcp from any to any dst-port 3689 in setup
11010 deny udp from any to any dst-port 3689 in
11100 deny log tcp from any to any dst-port 5060,5297,16384-16403 in setup
11110 deny udp from any to any dst-port 5060,5297,16384-16403 in
11200 deny log tcp from any to any dst-port 500,1701,1723,4500,10000 in setup
11210 deny udp from any to any dst-port 500,1701,1723,4500,10000 in
11300 deny log tcp from any to any dst-port 5900 in setup
11310 deny udp from any to any dst-port 5900 in
11400 deny log tcp from any to any dst-port 8770 in setup
11410 deny udp from any to any dst-port 8770 in
11600 allow tcp from 10.0.1.0/24 to any dst-port 139,445 in setup
11610 allow udp from 10.0.1.0/24 to any dst-port 139,445 in
63000 allow tcp from any to any in setup
63001 allow udp from any to any dst-port 1-1023 in
65535 allow ip from any to any
こんな感じです。ただ、今は問題ないので何が原因かいまいち計りかねています。
しばらくこの設定で様子を見るつもりです。
> 自分には、結局この手のツールは、最初何も分からないときに、
> 設定の手段としては使えるけど、
それが初心者にとってはとても大事です。
いきなりこれだけの記述を自分でやれといわれてもなかなかできないですし、設定が間違っていても自分で解決する術もありません。
何事もとっかかりが必要だと思います。
> 最終的には、ターミナルでどんな設定がされたか見ながら
> やらないとどうなっているか分からないと思うのですが。
変更したどの段階で設定が反映されるのかよくわからないので、設定を変えるたびにターミナルで確認はしています。
# とはいっても自分が変更した設定が反映されているかを
# 確認しているだけで間違っているかどうかの判断はまだ自分ではできません。
> 逆に、ターミナルでリストを見れば、どのポートが何を表しているか分かっていさえすれば、
> ほとんどは簡単な論理学で分かる程度(小中学生でも分かる程度)のものですし、
> 結局ターミナルで設定する方が早いと思うようになるのではないかと思います。
私がそのようになるのはまだ当分先のようです (^^;

よこから失礼しますがきになったので……
>10410 deny udp from any to any dst-port 80 in
ポート80はHTMLではなかったでしょうか？
ということはHTMLはブロックされてる訳ですよね
でも
＞63001 allow udp from any to any dst-port 1-1023 in
と1-1023は通すようになっており矛盾している状態に見えます。この場合どちらの設定が優先されるのでしょう？

>ポート80はHTMLではなかったでしょうか？
HTMLではなくHTTP。また、通常のHTTPではTCPしか使わないので、このルールはほとんど無意味。
>どちらの設定が優先されるのでしょう？
そもそも矛盾しないように作成するものではありません。気になるなら、manで調べてみてください。すぐにわかることです。

IPFWは触ったことがなく、私が使用しているルータの設定から推測して
書きます点、ご容赦ください。
TCPでポート80への出力は拒否していないようので、Webブラウザを使う分
には問題ないのではないかと思います。Webブラウザ自体はクライアントで
すから、入力にWell Known（ポート1から1023）を使用しませんので。
フィルタは先に書かれている方が優先されると思います。明示で拒否したい
ものを先に書いておいて、書かれなかったもののうちWell Knownは許可、
という感じではないかと。これだと、UDPのポート53、113、123を単独の
記述で利用させることができますので、設定としては楽なのかもしれません。
蛇足ですが、私のルータのフィルタリングはACKフラグがメインです。
"Mac miniが無数の侵入者に狙われてます" #16, 2006/11/06 2:08am
"お薦めのブロードバンドルーターはありますか？" #9, 2007/06/11 1:23am

> 10310 deny udp from any to any dst-port 53,67,68,123,5353 in
ここでDHCPが使うudp67とudp68が落とされてますねぇ。
システム起動中にアドレスをDHCPで取ることになるかと思いますが、ipfwの設定が先に実施されちゃってるのでしょうか。
最初は使えていて、再起動せずに(スリープとかで)長期間使っていると接続できなくなる。
のであれば、面倒ですがその都度再起動することで回避(？)は出来ますね。

エルクさん　ありがとうございます。
> ここでDHCPが使うudp67とudp68が落とされてますねぇ。
なるほど。たまちゃんさんに教えていただいたこちらのページを見ると
アップルソフトウェア製品で使われる「一般的な」TCP および UDP ポート
仕様元がNetBoot（DHCP 経由）となっていますが、NetBootとか使用しなくても単純にDHCPとのやり取りにも使われているということでしょうか。
NobProofの設定を見ると、System internal services (UDP) として、53, 67, 68, 123, 5353がひとくくりになっています。
123はネットワークタイムサーバの同期用のようだからまとめて開けておいた方がいいのかな？　でも、5353はBonjourなら閉じておいた方がいい？　う〜ん　むずかしい・・・
> システム起動中にアドレスをDHCPで取ることになるかと思いますが、
> ipfwの設定が先に実施されちゃってるのでしょうか。
起動直後はどうなのかはわかりませんが
> 最初は使えていて、再起動せずに(スリープとかで)長期間使っていると接続できなくなる。
ですね。
> のであれば、面倒ですがその都度再起動することで回避(？)は出来ますね。
一応、一度設定をリセットして再設定することでも回避できるんですけどいずれにしても面倒なので、67, 68もローカルネットワークからだけアクセスできるようにして様子を見てみます。
なんだかどんどん深みにはまってますが、ちょっと楽しくなってきたのでがんばって勉強しようと思います。
# 本当は、このレベルの人間ならネットバリアの方がいいんだろうけど
# 今のところルータ越しのサービスを利用する予定はないので差し迫った危険はないし練習ということで・・・ (^^;;

> 私
> UDPのポート53、113、123を単独の記述で利用させることができます
> エルクさん
>> 10310 deny udp from any to any dst-port 53,67,68,123,5353 in
113以外はここでアウト・・・。きちんと読んでなくてすみませんm(_ _)m
> HALさん
> NetBootとか使用しなくても単純にDHCPとのやり取りにも使われている
> ということでしょうか。
NetBootはBOOTPを使いますから、DHCPと同じポートを利用します。
Windows Server TechCenter "BOOTP と DHCP"
--追記--
古いバージョンのNetBootがBOOTPベースみたいです。
Apple Support [Article ID: 107902]
"Mac OS X Server 10.3: 古い NetBoot クライアントコンピュータに
対して NetBoot 1.0 を有効にする方法"

>ここでDHCPが使うudp67とudp68が落とされてますねぇ。
方向が「in」ですからクライアントとしてはちゃんと通りますよ。
HALさんの設定では、基本的に特定のポートをdenyし、それ以外はallowしている形になっていて、FireWallとは言い難いような。普通は逆で、必要なポートのみをallowし、それ以外はdenyにすべきはずなんですが。

>練習ということで・・・ (^^;;
練習なら、もっと簡単な例でやってください。
一つのポートだけブロックしてみるとか。それで、自分でルールを少し変えてみるとか、少し追加してみるとかでどうなるか見てみると良く分かると思います。
小学生にいきなり実社会で使われている例を理解しろ、といっても無理です。
でも、NoobProof ってこのようなルールセットしか設定しないのですか？
kawabe さんもお書きのように、普通は
allow ...
allow ...
と続いて、最後に、
deny ip from any to any
(全部拒否)とかします。
(この方が考えやすくないですか？)

> 普通は逆で、必要なポートのみをallowし、それ以外はdenyにすべきはずなんですが。
*All other servicesをdenyにしてみました。
63000 deny log tcp from any to any in setup
63001 deny udp from any to any dst-port 1-1023 in
となりました。これで大丈夫でしょうか？

>> 10310 deny udp from any to any dst-port 53,67,68,123,5353 in
>方向が「in」ですからクライアントとしてはちゃんと通りますよ。
dhcpclientは68番で待ち受けるので67番のサーバ宛は通すけどサーバからの返事が
通らないのではないかと思いますよ。
>HALさんの設定では、基本的に特定のポートをdenyし、それ以外はallowしている形になっていて、FireWallとは言い難いような。普通は逆で、必要なポートのみをallowし、それ以外はdenyにすべきはずなんですが。
ツールにより生成されているのであれば、設計者が不要な事故？を避けようと考えてデフォルトがallowなポリシーにしてしまったのかもしれないですね。
各種アプリケーションがどんな通信を必要とするのかをユーザーに意識してもらうのは困難ですから。
その点、ipfwの話になって以降もしっかりとそれに向き合えてる皆さんは本当に凄いと思います。

ちょっとだけ整理をさせてください。
Leopard でも ipfw はある。アプリケーションファイアウオールと２層構造で防火壁を築く（両者が背反するようなポリシーを書くのも可能）。
ipfw(2) の GUI として，これまで定番の Flying Buttress に代わって出てきたのが WaterRoof である。
WaterRoof の簡易版が NoobProof だが，両者の性格はまったく異なる。
http://www.hanynet.com/comparison.html
後者は基本的に特定のサービスへのアクセスを認めるか，認めないかを「簡単に」設定するもので，前者はアクセス制御をもっと細やかにできるもの。
私個人はコマンドで出来る方はコマンドでささっと設定し，出来ない方はこのようなヘルパーアプリケーション（？）を使ってもどっちでもよいと思ってます。ただし動作を理解して設定通りに動いているかどうかを確認できる知識は必要。
と思って５年ぶりくらい（？）にここの資料
http://www.nic.ad.jp/ja/materials/iw/2006/proceedings/
を見ると動画で公開されてるんですね。ああ，知らんかった。