光BBユニット(E-WMTA2.4)のIPv6パケットフィルタの機能についてテストを行ったので、その結果をメモしておく。なお、IPv6パケットフィルタの設定は、光BBユニットの管理画面から[ルーター機能の設定] - [パケットフィルタ設定]を選択すると実施できる。設定の詳細はコチラ。
【テスト環境】
・光BBユニットにWiFiで接続したMacBook Airに対して、外部からIPv6アドレス(一時IPv6アドレス)を指定して、pingとポートスキャンを実施。
・pingとポートスキャンは4G接続のiPhoneから、iPhoneアプリのiNetToolsを利用して実施。
・MacBook Airへのパケットの到着確認はtcpdumpコマンドを利用。
・光BBユニットの[パケットフィルタ設定]の[セキュリティレベル設定]は「高」、[NGNネットワークフィルタ設定]は「無効」に設定。
【テスト結果】
・pingは光BBユニットでパケットフィルタされず、MacBook Airまで到着。
・ポートスキャンは光BBユニットでパケットフィルタされて、MacBook Airまで到着せず。
【考察】
・IPv6パケットフィルタの機能はちゃんと動いており、ポートスキャンはブロックされていた。
・[NGNネットワークフィルタ設定]を「有効」にすると、ポートスキャンがブロックされない(デフォルト設定は「有効」)。ソフトバンクの4G接続のiPhoneからのアクセスなので、NGN網内折り返し通信として、フィルタされないのかも。ちなみにドコモの4G接続のiPhoneからだと、この設定でもブロックされていた。
・Mac OSのファイアウォール設定でステルスモードを有効にしておけば、pingに応答しなくなる(やり方はコチラ)。
【結論】
ソフトバンク光でIPv6高速ハイブリッドを使う場合には、以下の設定にしておくのが良さそう。
・光BBユニットの[パケットフィルタ設定]の[セキュリティレベル設定]は「高」のままにしておく。
・光BBユニットの[NGNネットワークフィルタ設定]は「無効」に変更する。
・Mac OSのファイアウォール設定で[ステルスモード]を「有効」にする。
【参考サイト】
blog.watahari.com
