ヤマハルーターのポート開放についてメモる。
目次
はじめに
自宅でスマホ使用時は,プライベートLAN内のアクセスポイントに接続してLINEやメールを使用しているが,来客者等の部外者に関してはプライベートLANに接続させるにはセキュリティ上若干抵抗がある。
今回,部外者用にパブリックLANにアクセスポイントを設置してスマホアブリのポート開放設定を行った。
各アプリ(LINE等)のポート番号については正式に公表されておらずネットで調べて設定してみて,とりあえず動作しているようなので様子見とする。
参考 LINEやcommの通話の仕組みを解析―実践編 | 日経クロステック(xTECH) (nikkei.com)
スマホアプリのポート番号
ネットワークカメラ(PLANEX カメラ一発!2) tcp8000 udp161
スマホメールのポート tcp465:smtp ssl tcp993:imap ssl tcp995:pop3 ssl
LINEのポート tcp5000:トーク tcp5228:ビデオ通話 tcp5229:? tcp5230:?
tcp10001-10020
上記以外にサーバー使用の(HTTP(S)・メール・DNS(DNS over TLS)・FTP・NTP)等の基本的なポートは開放済み。
LINEで使用するポート
HTTP,tcp5000,tcp5228-5230,tcp10001-10020
「tcp5000,tcp5228-5230」のみの指定では,発信不可。インターネット側からの受信はできるが応答できない。
「tcp5000,5228-5230」を指定しなくても「tcp10001-10020」だけの指定でも動作するが,他のポートの使用を試みるみたいで別ポートのアクセスでリジェクトしている。
「tcp10001-10020」はポートをランダムに使用するみたい(範囲は想定なので不確定)
ちなみに用途を調べたらtcp10002はHTTPS 着信要求を listen するデフォルトのポート,
tcp10012はクライアント(CT)へのポリシー反映などの階層化サービスらしいが,使用目的は異なっている?。ポートの使用についてはまだまだ不明な点があるがとりあえず動作するので,しばらく使ってみる事とする。
ルーターのフィルター設定概要
フィルター設定について
上図右下のパブリックLANに新たにWi-FiのAP(アクセスポイント)を設置して「③ IN」のフイルター定義にポート開放を設定する。
#LAN3のインタフェースの設定(DMZ)
ip lan3 secure filter in nnnn .... nnnn 1055 1056 1060 1070 2000
#PLANEXネットワークカメラ カメラ一発2 tcp8000 udp161
ip filter 1055 pass 192.168.0.0/24 * tcp * 8000
ip filter 1056 pass 192.168.0.0/24 * udp * snmp
#スマホメール 465:smtp ssl 993:imap ssl 995:pop3 ssl
ip filter 1060 pass 192.168.0.0/24 * tcp * 465,993,995
#ライン LINE 設定 5000,5228-5230,10001-10020
ip filter 1070 pass 192.168.0.0/24 * tcp * 5000,5228-5230,10001-10020
ip filter 2000 reject * * * * *この設定でとりあえず動作するが,LINEの音声通話時にUDPポート(15000番台,16000番台)で,ビデオ通話時にUDPポート(20000番台,21000,25000,26000番台)で接続を試みるみたいだが,ログを確認するとrejectされている。
そのままTCPで通信を継続しているので問題はないが,多分UDPのほうが高速なので,使用可能な環境であれば切り替えたいのかな。
しかし使用ポート番号が不確定なので設定に苦慮するな。
おわりに
この記事の内容は,当方の環境での結果であり同様の結果を保証しません。
また,情報不足による思い違いや記載もれ・ミス等の間違いがあるかもです。_(._.)_