この記事は、WiFiルータがインターネット利用を制限する機能であるパケットフィルタのメリットとデメリットを説明したものです。パケットフィルタを搭載したWiFiルータは一部のメーカに限られますが、特定の通信を遮断することで、子どもの健全な成長を促進します。
ネット検索すると、MACアドレスフィルタやキッズタイマーといったMACアドレスを使用したインターネット利用制限をよく目にしますが、IPアドレスを使用したインターネット利用制限について書かれた記事は多くありません。
IPアドレスを利用するパケットフィルタの設定が、ネットワークの知識が乏しい人に取っつきにくいのが原因です。利用者が少ないので、おのずと関連記事も増えません。
この記事は、IPアドレスを使ったパケット通信を制御する「パケットフィルタ」のメリットとデメリットを分かりやすく説明することで、より、多くの人にパケットフィルタを利用してもらうことを目的にしています。
子どもが成長するとMACアドレスフィルタやキッズタイマーだけでは手に余ることがあります。
パケットフィルタは、MACアドレスフィルタやキッズタイマーと同時にを利用することができるので、この記事を参考に、ご自宅のWiFiルータの設定を見直してみてください。
記事のポイント
- パケットフィルタの概要を知る
- IPアドレスで制限するメリットを知る
- あまり利用されない理由を知る
- レイヤ2・3組合せが最強のワケ
 |
 |
パケットフィルタの概要
パケットフィルタは、WiFiルータが普及するずっと前からルータに搭載されたレジェンド機能です。
パケットフィルタは、IPアドレスを使うレイヤ3において、パケット通信をコントロールすることができます。
パケットフィルタ機能が搭載されたルータは、交差点で交通整理をしている警察官のように、進めと止まれを指示するだけではなく、不審者や飛び出しについても注意を払うことができます。
パケットについて知る
パケットとは、インターネットなどで使われる通信手順において、分割して送るデータの塊のことです。
データ量が多いとパケット量は増え、データ量が少ないとパケット量は少なくなります。
それぞれのパケットには、送信元IPアドレスと宛先IPアドレスが含まれます。
WiFiルータが、パケットデータを取り扱う状況においては、宅急便の小包のように送り主や宛先が、ハッキリ分かる状態になっています。
パケットフィルタとは
送り主や宛先が、ハッキリ分かる状態において、パケットデータをどのように処理をするか指定するのがパケットフィルタです。
パケットフィルタの指定がない場合、WiFiルータは通信制限を行いません。さきほどの交通整理を例だと、信号機のように進めと止まれを指示するだけです。
パケットフィルタは、送信元や宛先のIPアドレスを確認して、通過と破棄を決定します。宅急便を例にすると、特定組織から出てきた荷物は通過させないといった動きになります。
ネット制限のイメージ
交通整理や宅配便ではイメージが浮かびにくいので、我が家でのインターネット利用制限で説明します。
わが家は、家族全員スマホを所持おり、ちょっとしたことを調べるのにスマホはとても便利です。パパは仕事や趣味、ママは料理や子供たちの教育について調べ、バカ息子は勉強をしていると見せかけて、すぐにYouTubeで気分転換します。例えば、こんな感じです。
YouTubeでも見よう!
パケットフィルタは、YouTube向け等(もしはYouTubeから)の特定のパケット通信を破棄することにより、端末に不要な通信をさせないようにする機能なのです。
IPアドレスの疑問
ここまで説明すると、IPアドレスについて多少の知識がある方は疑問に感じると思います。
「IPアドレスって、192.168.ナントカ、ナントカって奴で、接続するたびに番号が変わるヤツだよな。そんなので制限できるの?」と思われるかもしれません。
ここに大きな誤解があります。IPアドレスは、大きく分けてグローバルとプライベートという2種類があります。
192.168.から始まるIPアドレスは、プライベートアドレスと呼ばれ自宅内などのクローズした空間で使われるものです。
YouTubeや料理レシピが載っているサイトのIPアドレスは、グローバルアドレスです。グローバルアドレスは登録制なのでコロコロと変わるものではありません。
グローバルアドレスの登録
インターネット利用制限を行う場合、グローバルアドレスをパケットフィルタに登録します。
インターネット通信では送信要求と受信確認の手順を繰り返すので、宛先IPアドレスと送信元IPアドレスの両方にフィルタ登録が必要です。
登録した2つのフィルタで、宛先または送信元が指定するグローバルアドレスの場合、パケットの処理(通過や破棄)を指定します。
機能のポイント
- パケット通信を監視する
- IPアドレスでフィルタする
- グローバルアドレスを使用する
- 送信元と宛先の両方を制限する
パケットフィルタのメリット
パケットフィルタのメリットを具体的に説明していきましょう。
IPアドレスを使った制限
パケットフィルタは、IPアドレスを使ったレイヤ3制限です。
MACアドレスフィルタやキッズタイマーなどのMACアドレスを使ったレイヤ2制限とは大きな違いとなります。
インターネットを始めとするパケット通信の制御には、レイヤ2のMACアドレス、もしくは、レイヤ3のIPアドレスが用いられています。
レイヤ2は同じスイッチングHUB内といった物理的に繋がったネットワーク装置の中での制御に対し、レイヤ3は全世界のどこにあるか分からないサーバとの通信を制御します。
IPアドレスを使うことで、インターネット上にある様々なサーバとの通信をコントロールでき、インターネット利用を制限できる範囲が大きく広がります。
グローバルアドレスの利用
グローバルアドレスは、プライベートアドレスとは異なり、世界中に1つしかありません。唯一無二の存在です。
グローバルアドレスを取得するには、JPNICなどの管理機関に申請してIPアドレスを割り当ててもらう必要があります。
のんびり理系おじさんのこのブログもグローバルアドレスを付与してもらっており、簡単にはIPアドレスを変えることができません。
検索してみてください
全世界と自由に通信が可能な反面、勝手にIPアドレスを変更することができないのがグローバルアドレスです。
言い換えれば、配信サーバ等のグローバルアドレスは決まっているので、確実にインターネット通信を遮断することができます。
多くのルータ搭載された実績
レイヤ3階層で動作するパケットフィルタは、ルータ、L3SW、ファイアウォールといった多くのネットワーク機器に搭載されています。
業務用ネットワーク機器では「アクセスリスト」と機能名で呼ばれることが多いですが、高い性能が要求されるネットワーク機器にも搭載される一般的な機能です。
むしろ、レイヤ3以上の業務用ネットワーク機器に、この機能が搭載されていない製品を探す方が大変なぐらいです。
インターネット黎明期から、30年以上も使われている機能の不具合は、すでに十分な検証の上で対応が終わっており、安心して使用することができます。
安定的に動作するので、業務用ネットワーク機器には、100以上の設定が記述されることもあります。
なお、家庭で使用するスイッチングHUBは、レイヤ2階層で動作するネットワーク機器なので、パケットフィルタは実装できません。
ファイアウォールと同じ機能
皆さんは、ファイアウォールというネットワーク機器を聞いたことがありませんか。ファイアウォールは、不要なパケットを遮断する装置です。
ファイアウォールとルータの違い
たまに「ルータとファイアウォールの違いは何か!」と問われることがありますが、のんびり理系おじさんは、いつも、ルータは初期設定ですべて通過する装置で、ファイアウォールは初期設定ですべて遮断する装置であると答えています。
ファイアウォール=炎の壁という響きがカッコ良いので、Windows OSにもパーソナルファイアウォールという名称で機能搭載されていますが、あれは、ネットワーク機器のファイアウォールではありません。
ファイアウォールのお値段
ファイアウォールは業務用ネットワーク機器なので、一番安いのでも10万円ぐらいします。それが1万円ぐらいのWiFiルータに搭載されているのですから、とってもお得ですよね。
なお、余談ですが、私がネットワーク機器に最初に触れた30年以上前は、サーバにグローバルアドレスが割り当てられ、大学同士でネットワークが繋がっており、学内はイエローケーブルという同軸ケーブルで繋がっている状況でした。
もちろん、インターネットが一般に普及するずっと前のことです。現在は、インターネットが普及して便利になった反面、セキュリティホールを見つけて情報を盗んだり金品を強要する悪い人も増えました。悲しい話です。
技術力のあるメーカが採用
WiFiルータのパケットフィルタ搭載状況は下記のとおりです。NEC Atermシリーズと、バッファローのAirStationシリーズへの実装を確認しています。
| 制限方法 | |
|
 |
| 機能名称 | パケット フィルタリング |
IPフィルター | IPアドレス フィルター (logitec) |
| 登録数 | 50 | 32 | (不明) |
| 範囲指定 | 可能 | 可能 | (不明) |
| オススメ度 | ◎ | ○ | - |
NECは通信機器メーカなので、ネットワーク機器であるWiFiルータの機能と性能はピカイチだと思います。十分すぎる実績とノウハウがあり、さすが老舗メーカといったところです。
バッファローは通信機器メーカではないのに、実装しているのが凄いと感じます。一応、範囲指定もできるようですが、具体的な設定例はチャットにより確認したものの性能面では少し心配な内容でした。(デメリットで説明します)
他レイヤの制限と併用可能
パケットフィルタでインターネットの利用を制限したら、他の機能は活かすことができない? いやいや、そんな事はありませんよ。
レイヤ2と3を同時使用が可能
レイヤ2はMACアドレス、レイヤ3はIPアドレスを使ってインターネット利用制限する機能なので同時に使用することが可能です。
MACアドレスは製造メーカが決めた番号で利用者は勝手に変更することができません。IPアドレスはユーザが設定することができる番号です。MACアドレスとIPアドレスは全く異なる番号です。
インターネット利用制限の代表的な機能として、レイヤ2は「MACアドレスフィルタ」や「キッズタイマー」であり、レイヤ3は「パケットフィルター」です。
同じレイヤだと同時に機能使用できないことがありますが、レイヤが違えば同時に使用することができます。
同時使用を勧めるケース
うちは、ダイジョブ!と思っているご家庭もあるかも知れませんが、本当にそうですか?
うちのバカ息子は、中間期末テストがないときは、夜中までスマホを触ってYouTubeを見ているので学校の授業中はスヤスヤ眠っています。
もちろん、それでは授業についていけないので、テスト直前になって、慌ててYouTubeで映像授業を見て、理解した気分になってテストを受けていました。当然、テスト結果はボロボロです。
動画見ているの?
(授業で爆睡していた)
全然、解けない。。。
確かに、映像授業には良い点が沢山あります。しかし、そもそも映像授業を始めとする動画に頼りすぎては本末転倒です。映像を視聴するだけで理解したと勘違いしてしまいます。
キッズタイマーでインターネット接続できる時間を制限しても、YouTubeばかり見ていたのでは学力アップに繋がりません。
小学生までは、時間をかけて勉強することを評価されましたが、中高生は努力に加えて結果が求められます。社会に出れば結果しか求められません。
うちのバカ息子は、その事を伝えてもやめようとしませんでした。
こういった場合、インターネットには接続できるが、YouTubeは見えない環境を構築してあげないといけません。
他のレイヤ3機能との同時使用
レイヤ3には様々な機能がありますが、インターネット利用制限をする機能は、パケットフィルタ以外にありません。
効率よくパケットを伝送するために使用する階層がレイヤ3であり、自動的に経路選択するなどのプロトコルが充実しています。
家庭用のWiFiルータは外部接続のWANポートは1つしかないので、これら機能は実装されていません。
また、レイヤ7のアプリケーション層「DNSルーティング」は、レイヤ3機能と同時に使用することができます。
パケットフィルタのデメリット
WiFiルータに搭載されたパケットフィルタを設定するには、ネットワークの知識が必要となるため、初心者には敷居が高いです。
フィルタ登録の難易度が高い
IPアドレスを使ったインターネット利用制限は、MACアドレス使ったインターネット利用制限と比べて自由度が高い反面、分かりにくいという状況があります。
普及しない理由は、動画配信サーバの仕組みや、ネットワーク範囲を指定する時に使用するネットマスクなどが分かりにくいことだと思います。
これはある程度、パターン化できると考えています。のんびり理系おじさんは、今後も、設定例を公開していくので、設定例を参考にしてもらえれば、フィルタ登録の難易度を下げることができると考えています。
-
-
【ルータ応用】解除困難!パケットフィルタでYouTube動画だけ非表示にする設定を公開してみた
この記事は、WiFiルータのパケットフィルタを使ってYouTube動画だけを非表示にする方法を説明したものです。パケットフィルタを搭載したWiFiルータは一部のメーカに限られますが、特定の通信を遮断す ...
機能搭載するメーカが限られる
設定を登録する難易度が高いため利用者が少なく、パケットフィルタをWiFiルータに実装するメーカは限られます。
多くのネットワーク機器を開発した実績があるメーカでないとパケットフィルタの必要性が分からないのかも知れません。
NEC Atermシリーズと、バッファロー AirStasionシリーズを除くメーカにはパケットフィルタは実装されていません。
パケットフィルタ使用を目的にWiFiルータを選定する場合、特定のメーカに限定されるのはデメリットです。
登録できる数が少ない
パケットフィルタ登録数は、NEC Atermシリーズが50個、バッファロー AirStationが32個となっています。
前述したYouTubeだけ伝送できないようにするパケットフィルタ設定では、Android端末やGoogle Mapなどを動作させるため、フィルタを10個使いました。
YouTubeは特殊な例ですが、もっと、設定数を増やして欲しいですね。
メーカの開発担当に聞いてみないと分かりませんが、設定数が増えると別の問題が出てくるのかも知れません。
登録数増加で速度が低下する
パケットフィルタで、最も懸念される点が速度の低下です。
パケット送受信時にフィルタを掛けるので、登録数が増えると送信が発生するたびに、または、受信が発生するたびにパケット内容を確認します。
つまり、パケットフィルタは、パケットの送受信時に、必ず送信元と宛先のIPアドレスを確認する処理が追加されるので遅延が発生します。
遅延する時間は、WiFiルータの性能によります。処理速度の速いWiFiルータの方が遅延を感じにくいです。
設定が処理速度に影響する
しかも、パケットフィルタの追加で生じる伝送遅延は、パケットフィルタの設定方法により変わります。
送受信する全パケットの宛先と送信元のIPアドレスを確認するので、対象パケットが、フィルタ対象か、そうでないかを瞬時に判別しなければなりません。
この処理が遅いと速度低下を実感します。2つの方式があるので比較しましょう。
ビットマスクで判別する
業務用のネットワーク機器に使用される一般的な設定方法で、高速に処理できる方法です。
パケットに含まれるIPアドレスに比較対象をビットマスクで抜き出し、該当するフィルタであるか判断します。
マスク判別ステップ
- パケットのIPアドレスから比較対象の一部を抜き出す
- 対象のIPアドレス(部分)がフィルタ対象か比較する
2ステップで処理できます。NEC Atermシリーズがこの方法を使用していますが、フィルタ設定が分かりにくいという問題があります。
アドレス範囲で判別する
次に、バッファローのAirStationが採用している方法です。
マニュアルには載っていないので、直接メーカに問い合わせた回答結果です。
範囲判別ステップ
- パケットのIPアドレスがフィルタの最小値よりも大きいか比較する
- パケットのIPアドレスがフィルタの最大値よりも小さいか比較する
- 上記の比較結果が両方とも真(該当する)か確認をする
3ステップで処理することになります。昔のCPUは比較や四則演算など命令によって処理に掛かる時間はまちまちでしたが、今のCPUは1命令1クロックであり、ステップ数が増えれば、それだけ、処理に要する時間もかかります。
1ステップ増えただけという意見もあるとは思いますが、全パケットにフィルタ設定分だけ処理時間が増えるので、積みあがってくると体感で差が分かります。
フィルタ設定が分かりやすい反面、処理速度面ではマスク判別に劣ります。
メリットとデメリットのまとめ
パケットフィルタは、IPアドレスを使ったインターネットの利用制限であり、ネットワークに詳しくない人には難しく、敷居が高く感じるかも知れません。
しかし、IPアドレスを指定すれば、全世界のどこにあるか分からないサーバとの通信を制御できることは大きなアドバンテージになります。
インターネット通信は、必ずIPアドレスを使用するので、Webブラウザやアプリ内ブラウザだけではなく、スマホアプリの通信を制限できるのは、インターネット利用制限の幅を広げます。
最後に、読者の皆さまのお子様の成長を心よりお祈り申し上げます。どうしようもないとき、このページを参考に通信制限を掛けてください。今後も、皆様のお役に立てる情報を発信していきます。
