ClockRoom

内部アクセス | 運営ノート

内部アクセス

というわけで、予告通り今回は「内部アクセス」について。 最初に定義しておくが、ここで言う内部アクセスとは「LAN上のコンピュータからインターネットにアクセスすること」とする。

で、通常LANにおいて、インターネットに向かうパケットを制限する必要は無い。 内側から外側に向かうパケットで内側に危害が及ぶ事はほとんど無いからだ。 しかし、あるケースが深刻化した場合、やむを得ず制限を施す必要が出てくる。 これはホームネットワーク、学校や会社等のネットワークに関わらず同じ理由が挙げら、どこのネットワーク管理者もこの問題で頭を抱えているはずである。 それは「帯域の占有」である。

せっかくの広帯域も、ネットワーク上の誰かが占有していては、他の人はその恩恵にあずかれない。 私が在籍していた大学でも、本来は極めて高速であるにも関わらず、一部の学生による占有で、他の端末がアナログ回線以下という状況も少なくなかった。 ネットワークにおいて回線占有問題は極めて深刻である。

我が家のネットワークでもこの問題が起きていた。 いくら高速とはいっても、ちょっと重たいことをやればすぐに回線は埋まってしまう。 しかしながら、ウェブの閲覧・ダウンロード程度ではさほど問題にはならない。 では「重たいこと」とは一体何か? それは、言わずと知れた『WinMX』である。 これをやられると回線は死亡する。 というわけで、これをこっそり使えなくする事が今回の目標である。

というわけで、まずは事前調査。 これにより『WinMX』はTCPポート6699番とUDPポート6257番を使用するという事がわかった。 よってこれを塞げば良いと思うのだが、実はこれでは詰めが甘い。 なぜなら、このふたつのポートはユーザが自由に変更できるのである。 しかも、実態調査を経ると他のポートも使用することがわかった。 どうやらTCPポート7729~7735番という固定ポートも使用するらしい。 固定ポートは塞げるが、先述2ポートは可変のため対抗されては勝ち目が無い。 ポートの意味がわかれば効率よく塞ぐことも可能だが、そもそも『WinMX』はその詳しい仕様を公開していない。

これは結構面倒くさい。 そこで、強行手段に出た。 TCP・UDP両プロトコルの“well-knownポート”を除いたすべてのポート、つまりポート1024~65535番をすべて塞いだ。 これなら手も足も出せまい。 しかし、この方法では『Windows Messenger』や『RealPlayer』、「ネットワークゲーム」や「ペルソナウェア」のすべて、一部の「CGIスクリプト」等も被害を被る。 まあ、この辺は私は一切使用していないので、はっきり言って私の知ったことではない。 と思ったら、ベクターの「FTPダウンロード」もできないようだ。 頭が痛い・・・

コメント

名前
内容
送信

※URLを含むコメントはできません。