この記事では、WiFiルータのパケットフィルター初心者に、動画を非表示にする方法を説明をしたものです。レジェンドWiFiルータのDNSルーティングでインターネット通信制限を失敗した人が、スマホアプリにも効果があるWiFiルータの通信制限を知ることで、子どもの健全な成長につなげます。
前回、レジェンドWiFiルータのDNSルーティングでインターネット利用制限ができたと思ったのですが、バカ息子は、アプリで動画を見ており、動画の視聴を制限することはできませんでした。
スマホのYouTubeアプリは、動画視聴時にDNSへドメイン名の確認せず、決められたサーバのIPアドレスに接続します。ドメイン名からIPアドレスに変換するDNSを使わないため、DNSルーティングによるインターネット利用制限はできません。
DNSを利用しない!
こりゃダメだということで、DNSルーティングによる制限をあきらめ、パケットフィルタを使ってインターネット利用制限をします。
なお、ネット検索するとGoogle社が使っているIPアドレスリストが出てきましたが、WiFiルータに設定を入れてもパケットフィルタによる利用制限はできませんでした。どうやら、信憑性のない情報があるようです。
それならば、ネットワークに詳しいのんびり理系おじさんが検証した上で記事を書くしかない。ということで説明を始めます。
記事のポイント
- パケットフィルタの仕組みを知る
- Google社のIPアドレスを調査する
- 具体的な設定方法を知る
- パケットフィルタによる弊害
下記のメーカは、パケットフィルタ機能があるWiFiルータを発売しています。
 |
 |
パケットフィルタの仕組み
パケットとは、インターネットなどで使われる通信手順において、分割して送るデータの塊のことです。データ量が多いとパケット量は増え、データ量が少ないとパケット量は少なくなります。それぞれのパケットには、送信元IPアドレスと宛先IPアドレスが含まれます。
WiFiルータが、パケットデータを取り扱う状況においては、宅急便の小包のように送り主や宛先が、ハッキリ分かる状態になっています。
この状況において、特定の送り主や宛先のパケットデータをどのように処理をするか指定するのがパケットフィルタです。
パケットフィルタの動作概要
パケットフィルタの初期設定において、LAN側ポートには何もフィルタが設定されていません。LAN側のスマホ等の端末からデータ配信要求に対して、WAN側にあるサーバからデータ等が送られてくる状況です。
パケットフィルタの設定を追加することで、LAN側の端末からWAN側にあるサーバへのデータ送信要求、もしくは、WAN側のサーバからLAN側の端末に送られてきたデータを破棄することができます。
パケット通信においては、LAN側の端末とWAN側のサーバ間で、データの送信要求と受領確認という手順を行った上で、中身に入ったパケットデータを送ります。送信要求や受領確認が届かなくなってしまうと、パケット通信ができない状態になるのです。
WiFiルータには、大きく分けてWANとLAN2つの物理ポートがあるのをご存じだと思いますが、パケットフィルタは、WAN側、LAN側のどちらにも設定することが可能です。
ただし、WAN側はパケットフィルタ設定を誤ると、WAN側からLAN側へ悪意のある侵入を許可してしまう状態になります。よって、この記事では、WAN側のパケットフィルタ設定は変更しません。
仕組みをちゃんと理解できるようになるまで、パケットフィルタの設定変更は、LAN側のみと覚えておいてください。
ルータをIPv4で動作させる
パケットフィルタで通信制限をするには、WiFiルータはIPv6ではなく、IPv4で動作させる必要があります。
Aterm WR9500Nの場合、トップページから、基本設定を選び、その中の基本設定から、動作モードをローカルルータとして、IPv6ブリッジ(パススルー)を使用するのチェックを外します。この設定だけで、WiFiルータへ接続する端末はIPv4で接続されます。
WiFiルータをIPv6で動作させると、端末もIPv6で接続するため、ルーティングによる各種通信制限機能も動作しません。よって、WiFiルータのIPv4動作は必須です。
NEC以外のWiFiルータでも、同様ですので、IPv6ブリッジやIPv6パススルーという設定を探しオフにするようにしてください。
IPv4動作を確認する
えっ? そんな設定だけで、IPv4動作になるの?と疑問に思う方もおられるかも知れないので動作確認をしていきましょう。まずは、検証用のパソコンを用意します。
「コントロールパネル」を開き、「ネットワークと共有センター」を選びます。左の一覧から、「アダプターの設定の変更」をクリックして、設定を変更したいイーサネットを選択します。下図のようにIPv4とIPv6の両方で接続できるよう設定をします。
次に、パソコンをWifiルータに接続します。DNSサーバの割り当ての確認なので、有線接続でも構いません。
接続できたら、コマンドプロンプトから「ipconfig /all」と打ち込みます。うまく設定できた場合は、DNSサーバはIPv4アドレスだけが表示されます。下のように、IPv4のアドレスだけがでるようなら設定はOKです。
|
1 2 3 |
C:>ipconfig /all (中略) DNS サーバー ............:192.168.0.1 |
設定を失敗した場合は、DNSサーバはIPv6とIPv4の両方が表示されます。この状態だと、IPv6のDNSサーバが使用されてしまうので制限できません。WiFiルータのIPv6ブリッジ(パススルー)設定を見直してください。
|
1 2 3 4 |
C:>ipconfig /all (中略) DNS サーバー ............:2001:1234:abcd:1234::1 192.168.0.1 |
これらが確認できれば、WiFiルータはIPv4で動作するようになっています。
パケットフィルタの設定
パケットフィルタの仕組みへの理解と事前準備が終わったので、具体的にパケットフィルタの設定をしていきましょう。
動画サーバのIPアドレスを確認
まずは、nslookupコマンドでYouTubeのWebサイト(www.youtube.com)を確認します。このコマンドは、ドメイン名(www.youtube.com)をIPアドレスに変換する変換するテーブルを表示するものです。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
C:>nslookup www.youtube.com サーバー: Address: 192.168.0.1 権限のない回答: 名前: youtube-ui.l.google.com Addresses: 2404:6800:400a:80e::200e 2404:6800:400a:813::200e 2404:6800:4004:818::200e 2404:6800:400a:80a::200e 172.217.25.174 172.217.26.238 172.217.161.238 142.250.76.142 142.250.206.206 142.250.206.238 142.250.207.110 Aliases: www.youtube.com |
次に、nslookupで出てきたIPアドレスを基に、YouTubeが持っているグローバルIPアドレスの範囲を確認します。Whois検索で、さきほどのnslookupで出てきたIPアドレスを入力します。「管理情報照会実行」ボタンを押して、管理情報を確認します。
https://www.cman.jp/network/support/ip.html
実行すると下記のような結果が出てきます。
この部分のIPアドレス範囲を制限します。ここは、しっかり確認してください。
|
1 2 3 |
NetRange: 172.217.0.0 - 172.217.255.255 CIDR: 172.217.0.0/16 (マスク範囲) NetName: GOOGLE |
制限したいIPアドレスの登録
さきほど、Whois検索で調べたIPアドレスの範囲をパケットフィルタに登録します。のんびり理系おじさんの家にあるAterm WR9500Nの場合、「詳細設定」「パケットフィルタ設定」を選択、対象インタフェースで「LAN」を選択し、右下の「追加」ボタンを押します。
まず端末から、LANポートに入り、YouTubeのサーバに向かう通信を遮断します。種別は「廃棄」、方向は「in」を選択し、宛先IPアドレスは、先ほどWhoisで出てきたIPアドレスの範囲を指定します。優先度は重複しない適当な番号にしてください。すべての入力が終われば「設定」ボタンを押して確定します。
今度は、YouTubeの配信サーバから、LANポートを出て、端末に向かう通信を遮断します。種別は「廃棄」、方向は「out」を選択し、送信元IPアドレスは、先ほどWhoisで出てきたIPアドレスの範囲を指定します。優先度は重複しない適当な番号にしてください。すべての入力が終われば「設定」ボタンを押して確定します。
さきほど、nslookupとwhoisで出てきたすべてのIPアドレスを登録します。設定が終わると、下記のような状態になっているはずです。(74.125.0.0/16を追加した理由は後述します)
Aterm WR9500Nは、パケットフィルタをLANとWANでそれぞれで登録数は50です。他のNEC Atermシリーズでも登録数は同じのようです。
パケットフィルタの動作確認
最後に、パケットフィルタが動作するようになったか検証用のパソコンを用意します。パケットフィルタがうまく設定できていれば、pingコマンドの応答が返ってきません。下のように、要求がタイムアウトしていればOKです。
|
1 2 3 4 5 6 7 8 9 10 |
C:>ping www.youtube.com youtube-ui.l.google.com [142.250.76.142]に ping を送信しています 32 バイトのデータ: 要求がタイムアウトしました。 要求がタイムアウトしました。 要求がタイムアウトしました。 要求がタイムアウトしました。 142.250.76.142 の ping 統計: パケット数: 送信 = 4、受信 = 0、損失 = 4 (100% の損失)、 |
少し前まで映像が映っていたYouTubeは、次のような表示になりました。
これで、パケットフィルタに登録したIPアドレスとは接続できなくなりました。
ハードリセット対策をする
WiFiルータは、ハードスイッチでリセットができないようにしておきます。うちの息子は、WiFiルータを初期化して出荷状態に戻して、勝手にインターネットへ接続できるようにしてしまいました。
ルータを初期化されてしまうと、すべての設定が消えてネットワークに接続し放題になってしまいます。非常にアナログな方法ですが、下記を参考にハードスイッチが押せないようにしましょう。
-
-
【子育てコラム】おじさん出張中にバカ息子が初期化したNECのWiFiルータのハードリセット対策
この記事は、WiFiルータのハードリセットを説明し、子どもがリセットボタンを使って、WiFiルータの設定を初期化することで、インターネット利用の制限を強制的に解除できないようにする方法を説明します。 ...
また、Wifiルータに貼られたSSIDとパスワードが書かれたシールを剝がし、初期設定が分からない状態にするのもひとつの手です。
パケットフィルタの懸念事項
パケットフィルタで制御する懸念事項をまとめておきます。パケットフィルタはOSI参照モデル第3層のIPアドレス層で制御するため、強力な通信制御となります。その一方で、様々な弊害を生じる可能性があります。
次のような懸念事項があることを知っておいてください。これら問題の責任は自己責任でお願いします。のんびり理系おじさんは責任を負えません。
Androidが変な動きをする
Whoisの結果で確認すると制限したIPアドレスは、NetNameが「YouTube」ではなく「Google」と表示されています。これは、Google関係のすべてのサービスと通信ができなくなってしまうことを意味しています。
パケットフィルタ設定後、私のスマホ(Android)はWiFiには接続できてもインターネットできない状態になりました。バカ息子のiPhoneやiPadはWiFi接続自体は可能でした。つまり、子どもの端末が、Androidである場合は、まったく使い物にならない可能性があります。
Google関係が利用できない
Google関係のサービスは、Android端末に限ったことではありません。Google ChromeやGoogle Mapなども、Google社が提供するサービスです。パケットフィルタに今回の設定を追加することで、これらのサービスが利用できなくなります。
子どもの学校で、Google社が提供するサービスを使った学習が必要になってきた時は、このフィルタを一時的に外す必要があります。家庭用のWiFiルータには、設定を有効/無効にするといった設定はありません。ちょっと面倒ですよね。(YouTubeだけ制限する方法は、別の記事を用意しています)
-
-
【ルータ応用】解除困難!パケットフィルタでYouTube動画だけ非表示にする設定を公開してみた
この記事は、WiFiルータのパケットフィルタを使ってYouTube動画だけを非表示にする方法を説明したものです。パケットフィルタを搭載したWiFiルータは一部のメーカに限られますが、特定の通信を遮断す ...
定期的なIPアドレス確認が必要
ググると、YouTubeを制限するIPアドレスがリストアップされています。中には検証をせず、ただコピーしただけのページもあるのですが、動画を流しながら、WireSharkでパケットをキャプチャした検証結果、今回パケットフィルタをしたIPアドレスは含まれていませんでした。
ネット上の情報が古い、もしくは国によってアクセス先が違う状況なのでしょう。元ネタは英語のようなので、日本国内の情報ではないのかも知れません。実際、Whoisを確認するとYouTubeやGoogleとして登録されており、IPアドレス自体は、現役で使われているようです。
(怪しい)ネット情報
| NetName: YOUTUBE | ||
| 208.65.152.0 | 208.65.155.255 | (208.65.152.0/22) |
| 208.117.224.0 | 208.117.255.255 | (208.117.224.0/19) |
| NetName: GOOGLE-CLOUD | ||
| 199.223.232.0 | 199.223.239.255 | (199.223.232.0/21) |
| NetName: GOOGLE | ||
| 207.223.160.0 | 207.223.175.255 | (207.223.160.0/20) |
| 209.85.128.0 | 209.85.255.255 | (209.85.128.0/17) |
| 216.58.192.0 | 216.58.223.255 | (216.58.192.0/19) |
| 216.239.32.0 | 216.239.63.255 | (216.239.32.0/19) |
これらの状況から、定期的にnslookupコマンドで、www.youtube.comの接続先となるIPアドレスに変更がないか確認が必要です。もし、接続先のIPアドレスが変更されていたら設定を変更しましょう。
YouTube配信専用サーバの存在
YouTube映像を受信しながら、WireSharkでパケットキャプチャした結果、nslookupで出てきた以外のIPアドレスがありました。映像データは大きいので、窓口となるサーバと映像配信を専用とするサーバで役割を分割しているようなのです。
引き続き検証をしていきたいと思いますが、nslookupで出てきたIPアドレスだけではYouTubeを制限することはできないようです。
| 開始アドレス | 終了アドレス | セグメント | 備考 |
| 172.217.0.0 | 172.217.255.255 | 172.217.0.0/16 | |
| 142.250.0.0 | 142.251.255.255 | 142.250.0.0/15 | |
| 74.125.0.0 | 74.125.255.255 | 74.125.0.0/16 | 配信専用? |
パケットフィルタのまとめ
WiFiルータに搭載されたパケットフィルタ機能を利用すれば、手軽に特定のサーバとの通信を制限することが可能です。
グッドポイント
パケットフィルタはWiFiルータに接続する全端末に対して有効なので、とにかく強力な制限を行うことができます。
グッドポイント
- アプリ視聴でも制限が可能
- アプリ内ブラウザにも効果あり
- 古いWiFiルータにも機能搭載
- WiFiルータに接続する全端末に効果あり
設定例ではLAN側の端末は、全端末(any)にしていますが、これを特定の端末にすることができます。
例えば、制限を掛けたくない端末は、MACアドレスを登録して固定的にIPアドレスを割り当て、制限を掛けたい端末は自動的にIPアドレスを付与するDHCPを動作させることで、制限するLAN側の端末を限定することができます。
ちょっとなぁ~ポイント
YouTubeの動画配信サーバ以外も通信制限するため、Google関係のサービスが受けられない状態になってしまいます。
ちょっとなぁ~ポイント
- パケットフィルタを搭載するメーカが限られる(NECとバッファロー)
- Google社のすべてのサービスが利用不可
- google社が配信サーバを変えたら設定変更が必要
- 親用に制限しないルータを別に用意した方が良さそう
なお、Google ChromeやGoogle Mapなどを動作させ、YouTubeだけ見えないようにする方法は以下にまとめています。 この記事は、WiFiルータのパケットフィルタを使ってYouTube動画だけを非表示にする方法を説明したものです。パケットフィルタを搭載したWiFiルータは一部のメーカに限られますが、特定の通信を遮断す ...
【ルータ応用】解除困難!パケットフィルタでYouTube動画だけ非表示にする設定を公開してみた
最後まで読んでいただき、まことにありがとうございました。のんびり理系おじさんは、読者の皆さまのお子様の成長を心よりお祈り申し上げます。どうしようもないとき、このページを参考にインターネット利用制限を行ってください。おじさんは、これからも、皆様の子育てのお役に立てる情報を発信していきます。
