この記事は、WiFiルータのパケットフィルタを使ってYouTube動画だけを非表示にする方法を説明したものです。パケットフィルタを搭載したWiFiルータは一部のメーカに限られますが、特定の通信を遮断することで、子どもの健全な成長を促進します。
YouTubeは、Googleのサービスの一部です。以前に紹介した方法は、Google社が持っている全IPアドレスを全廃棄するため、YouTubeだけではなく、GメールやGoogleマップも見えなくなってしまいます。さらには、Android端末は通信ができず、おかしな動作をします。これでは困ります。
手探りではありますが、ひとまず、YouTubeだけ閲覧できない(ぽい)パケットフィルタの設定が完成したので紹介させていただきます。今のところ、GメールもGoogleマップが正常に動作し、Andoroid端末もちゃんと動作することを確認しています。
なお、ご自宅でCATV網を使用されている場合、ファイアウォールでNATして、送信元のIPアドレスをGoogle社のIPアドレスから変更していることがあり、この設定では動作しないことがあります。NTT回線を使っておられる場合は、おそらく、この設定でOKです。
動作にはパケットフィルタが動作するWiFiルータが必要です。パケットフィルタが搭載されたバッファロー AirStationシリーズか、NEC Atermシリーズに限定されます。のんびり理系おじさんは、ビットマスクでIPアドレスを指定し、高速な処理ができるNEC Atermシリーズを使うことを推奨します。
 |
 |
記事のポイント
- YouTubeだけ視聴できない設定例
- 動画配信の仕組みを知る
- パケットフィルタの仕組み知る
- 組合せで使う制限機能を知る
下記のメーカは、パケットフィルタ機能があるWiFiルータを発売しています。
|
|
パケットフィルタの動作概要
Googleの提供するサービスのうち、YouTube動画だけ見えないようにすることがなんて無理なんぢゃないの?ってみなさん疑問になるでしょう。実は、パケットフィルタを使えば、特定の通信だけ制限することが可能です。もちろん、サーバから送られてくる動画配信データ自体を廃棄するので、この方法は、LineなどのSNSのアプリ内ブラウザでもYouTubeを見ることができません。レイヤ3の通信制限は、とても強力です。
窓口サーバのIPアドレス確認
まず、最初にnslookupコマンドを使ってドメイン名のIPアドレスを調べます。実際に調べてみると分かると思いますが、定期的にIPアドレスが変更になることが分かります。例えば、google driveで使用していたIPアドレスが、google playのIPアドレスが変わるといった動作をします。
|
1 2 3 4 5 6 7 |
C:>nslookup drive.google.com サーバー: my.aterm.jp Address: 192.168.0.1 権限のない回答: 名前: drive.google.com Addresses:142.250.206.206 |
数分後
|
1 2 3 4 5 6 7 |
C:>nslookup play.google.com サーバー: my.aterm.jp Address: 192.168.0.1 権限のない回答: 名前: play.google.com Addresses:142.250.206.206 |
google driveやgoogle playといったサービスを提供するサーバのIPアドレスが、コロコロ変わってしまったら制限できない!と感じるかも知れませんが、慌てなくても大丈夫です。窓口を引き受けるサーバが変わっただけで、実際にサービス提供するサーバは変わっていません。窓口サーバと、サービス提供するサーバは異なります。
もちろん、この窓口サーバへアクセスできなくなってしまうと、google driveやgoogle playといったサービスを使うことができません。よって、窓口サーバで使っているIPアドレスは、WiFiルータを通過させる必要があります。これを地道に調べていきます。私が調べたところ、下記のIPアドレスが、Google社のサービス窓口として使われているようでした。これらは、WiFiルータを通過するよう設定しましょう。
- 142.250.76.142
- 142.250.206.206
- 142.250.206.238
- 142.250.207.110
- 172.217.25.174
- 172.217.161.206
- 172.217.161.238
- 172.217.175.110
動画配信サーバの仕組み
次にYouTube動画の配信について考える必要あります。あれだけ大量の映像データを配信するとなると、ハードディスクやシリコンディスクの容量も莫大になります。また、同時に映像配信するためには、ネットワーク回線が太くないとボトルネックになってしまいます。
結果として、ストリーミング配信には、数百台、数千台の膨大なサーバが必要となり、台数分のIPアドレスも必要です。ただし、YouTubeに使っているIPアドレスを世間に周知すると、そのIPアドレスに対して嫌がらせするサイバー攻撃も考えられます。
数百台のサーバを世界各地にあるいくつかのデータセンターから、ストリーミング配信をサーバを構築します。しかし、IPアドレスをバラバラにしすぎてしまうと、今度は、メンテナンスや障害発生時に時間を要します。
結果、このデータセンターからは、この範囲のIPアドレスでストリーミング配信をするといったように、データセンターの場所ごとにIPアドレスの範囲を決めています。
パケットキャプチャでIPアドレスを確認してみると、いくつかのIPアドレス範囲から配信されていることを確認できました。ここでは具体的なIPアドレスの範囲を説明するのをやめておきますが、IPアドレスの範囲で指定するんだなと思っておいてください。
Googleサービスの調査
Googleが提供するサービスはいろいろあります。WebブラウザのGoogle Chrome、地図を提供するGoogle マップ、GメールにGoogle ドライブなど様々です。これらのサービスにできるだけ影響を与えないようにしなくてはなりません。さきほどと同様にnslookupコマンドを使って、窓口となっているサーバを確認したところ、次のようなIPアドレスが使われていました。Googleのポータルサイト、Gメールやshoppingは独自のIPアドレスでした。YouTubeは窓口サーバと独自のIPアドレスを併用しているようです。
| サービス種別 | URL | 使用IPアドレス |
| YouTube | www.youtube.com | 142.250.199.110 |
| 142.250.207.46 | ||
| 142.251.42.142 | ||
| 142.251.42.174 | ||
| 142.251.222.46 | ||
| 172.217.175.14 | ||
| 172.217.175.78 | ||
| +窓口サーバ | ||
| www.google.co.jp | 142.250.206.196 | |
| 142.250.206.227 | ||
| 142.250.76.132 | ||
| www.google.com | 172.217.25.163 | |
| 172.217.25.164 | ||
| 172.217.161.195 | ||
| Gメール | mail.google.com | 142.250.206.229 |
| 142.250.207.101 | ||
| 172.217.161.69 | ||
| 172.217.161.197 | ||
| gemini | gemini.google.com | 窓口サーバ |
| news | news.google.com | 窓口サーバ |
| meet | meet.google.com | 窓口サーバ |
| contacts | contacts.google.com | 窓口サーバ |
| drive | drive.google.com | 172.217.175.238 |
| +窓口サーバ | ||
| calendar | calendar.google.com | 142.251.222.14 |
| +窓口サーバ | ||
| play | play.google.com | 窓口サーバ |
| translate | translate.google.com | 窓口サーバ |
| photos | photos.google.com | 窓口サーバ |
| myadcenter | myadcenter.google.com | 窓口サーバ |
| shopping | shopping.google.com | 64.233.187.92 |
| 74.125.23.92 | ||
| 142.251.8.92 |
グローバルIPアドレスの範囲
これまでの調査で、窓口サーバとしてドメインで使用しているIPアドレスが分かったので、Google社のグルーバルIPアドレスの範囲を知ることができます。ドメインIPアドレスサーチで、出てきたIPアドレスの範囲を確認します。
nslookupコマンドを使ってIPアドレスの範囲を調べると下記のようなイラストになります。オレンジ色の部分は、窓口サーバで利用しているので、WiFiルータを通過するよう設定する必要があります。
WiFiルータへ設定する前に行うこと
nsllokupコマンドでgoogleが提供するサービスの一通りのIPアドレス情報が集まったので、早速、WiFiルータの設定内容を決めていきましょう。その前に、WiFiルータを経由する全端末をIPv4動作させる必要があります。
WiFiルータをIPv4で動作させる
WiFiルータに接続する端末が、IPv6で動作しないようにWiFiルータの設定を行います。これができていないと通信制限ができません。
重要
WiFiルータはIPv4動作!
NEC Aterm WR9500Nの場合、トップページから、基本設定を選び、その中の基本設定から、動作モードをローカルルータとして、IPv6ブリッジ(パススルー)を使用するのチェックを外します。この設定だけで、WiFiルータへ接続する端末はIPv4で接続されます。
WiFiルータをIPv6で動作させると、端末もIPv6で接続するため、ルーティングによる各種通信制限機能も動作しません。よって、WiFiルータのIPv4動作は必須です。NEC以外のWiFiルータでも、同様ですので、IPv6ブリッジやIPv6パススルーという設定を探してオフにしてください。
WiFiルータのIPv4動作確認
「コントロールパネル」を開き、「ネットワークと共有センター」を選びます。左の一覧から、「アダプターの設定の変更」をクリックして、設定を変更したいイーサネットを選択します。下図のようにIPv4とIPv6の両方で接続できるよう設定をします。
次に、パソコンをWifiルータに接続します。DNSサーバの割り当ての確認なので、有線でも無線でも構いません。
接続できたら、コマンドプロンプトから「ipconfig /all」と打ち込みます。うまく設定できた場合は、DNSサーバはIPv4アドレスだけが表示されます。下のように、IPv4のアドレスだけがでるようなら設定はOKです。
|
1 2 3 |
C:>ipconfig /all (中略) DNS サーバー ............:192.168.0.1 |
設定を失敗した場合は、DNSサーバはIPv6とIPv4の両方が表示されます。この状態だと、IPv6のDNSサーバが使用されてしまうので制限できません。WiFiルータのIPv6ブリッジ(パススルー)設定を見直してください。
|
1 2 3 4 |
C:>ipconfig /all (中略) DNS サーバー ............:2001:1234:abcd:1234::1 192.168.0.1 |
これらが確認できれば、WiFiルータはIPv4で動作するようになっています。
キャプチャソフトの導入
Google社のサービスで使っているIPアドレスをもっと調べるために、パソコンにWireSharkのインストールします。
WireSharkは通信に使っているパケットを見るアプリです。このアプリを使って、Googleの各種サービスを動作させた時に、どんなIPアドレスを使って通信しているか確認ができます。WireSharkですが、窓の森あたりからダウンロードしてインストールしてください。無料で使えます。
WireSharkを起動させると次のような画面がでてきるので、一番左端のサメのひれマークでキャプチャを開始し、赤い■でキャプチャを停止させます。
パケットフィルタの設定
さて、ここから本格的にWiFiルータに設定を入れていきます。
今までの情報をWiFiルータに設定
事前調査を元に、まずは、WiFiルータにパケットフィルタを設定します。もちろん、この状態では、Googleサービスの殆どがまともに動きません。
| 優先度 | 方向 | IPアドレス(範囲) | IPアドレス(範囲) | |
| 通過 | 高 | in | 142.250.76.0/24 | 142.250.76.1 - 142.250.76.255 |
| 通過 | 高 | in | 142.250.206.0/24 | 142.250.206.1 - 142.250.206.255 |
| 通過 | 高 | in | 142.250.207.0/24 | 142.250.207.1 - 142.250.207.255 |
| 通過 | 高 | in | 172.217.25.0/24 | 172.217.25.1 - 172.217.25.255 |
| 通過 | 高 | in | 172.217.161.0/24 | 172.217.161.1 - 172.217.161.255 |
| 通過 | 高 | in | 172.217.175.0/24 | 172.217.175.1 - 172.217.175.255 |
| 廃棄 | 高 | in | 142.250.0.0/15 | 142.250.0.1 - 142.251.255.255 |
| 廃棄 | 高 | in | 172.217.0.0/16 | 172.217.0.1 - 172.217.255.255 |
| 廃棄 | 高 | in | 74.125.0.0/16 | 74.125.0.1 - 74.125.255.255 |
通過させるIPアドレス範囲拡大
次に、WireSharkを動作させた上で、GメールやGoogleマップを起動させてます。サービスに使っていると思われるIPアドレス範囲を広げていきます。この作業は、カット&トライです。Google社のサービスで実際に使っていそうなIPアドレスを範囲指定していくと次のような状態になりました。オレンジの部分は通過させるIPアドレス範囲です。
| 優先度 | 方向 | IPアドレス(範囲) | IPアドレス(範囲) | |
| 通過 | 高 | in | 142.250.128.0/17 | 142.250.128.1 - 142.250.255.255 |
| 通過 | 高 | in | 142.251.42.0/24 | 142.251.42.1 - 142.251.42.255 |
| 通過 | 高 | in | 142.251.222.0/24 | 142.251.222.1 - 142.251.222.255 |
| 通過 | 高 | in | 172.217.0.0/19 | 172.217.0.1 - 172.217.31.255 |
| 通過 | 高 | in | 172.217.160.0/20 | 172.217.160.1 - 172.217.175.255 |
ちなみに、IPアドレスの後に続く/○○は、ビットマスクといって、IPアドレスの範囲を示します。2進数を10進数に変換するなど、ここは、ちょっと難しいかも知れませんが、覚えてしまえば、さほど難しいわけではありません。
YouTubeのIPアドレスの廃棄
最後に、YouTube動画を選択して、WireSharkでキャプチャし、ストリーミング配信で使用していると思われるIPアドレスを見つけます。見つけたIPアドレスが、Google社のIPアドレスであるか確認し、グルーバルIPアドレスの範囲を調べます。ここでも、ドメインIPアドレスサーチを使います。
窓口サーバには、使用されていませんが、どうやら、YouTube配信は以下のIPアドレス範囲を使っているようです。
| 優先度 | 方向 | IPアドレス(範囲) | IPアドレス(範囲) | |
| 廃棄 | 高 | in | 173.194.0.0/16 | 173.194.0.1 - 173.194.255.255 |
| 廃棄 | 高 | in | 209.85.128.0/17 | 209.85.128.1 - 209.85.255.255 |
最終的なWiFiルータの設定例
これまで調べた情報を合わせたものが下記の設定になります。優先度が若い数字の方を優先させるよう設定してください。もしかすると、いくつかのGoogleサービスは使えなかったり、逆にYouTube動画で映像配信される可能性はありますが、だいたいは、目的の動きをしているかな~といった感じました。(動かないよ~というサービスがあればお知らせください)
| 優先度 | 方向 | IPアドレス(範囲) | IPアドレス(範囲) | |
| 通過 | 高1 | in | 142.250.76.0/24 | 142.250.76.1 - 142.250.76.255 |
| 通過 | 高2 | in | 142.250.128.0/17 | 142.250.128.1 - 142.250.255.255 |
| 通過 | 高3 | in | 42.251.42.0/24 | 42.251.42.1 - 42.251.42.255 |
| 通過 | 高4 | in | 142.251.222.0/24 | 142.251.222.1 - 142.251.222.255 |
| 通過 | 高5 | in | 172.217.0.0/19 | 172.217.0.1 - 172.217.31.255 |
| 通過 | 高6 | in | 172.217.160.0/20 | 172.217.160.1 - 172.217.175.255 |
| 廃棄 | 高7 | in | 142.250.0.0/15 | 142.250.0.1 - 142.251.255.255 |
| 廃棄 | 高8 | in | 172.217.0.0/16 | 172.217.0.1 - 172.217.255.255 |
| 廃棄 | 高9 | in | 74.125.0.0/16 | 74.125.0.1 - 74.125.255.255 |
| 廃棄 | 高10 | in | 173.194.0.0/16 | 173.194.0.1 - 173.194.255.255 |
| 廃棄 | 高11 | in | 209.85.128.0/17 | 209.85.128.1 - 209.85.255.255 |
NEC Aterm WR9500Nの設定画面は、こんな感じでした。設定をするのはLAN側の設定です。WAN側の設定は、いぢってはいけません。
マンション住まいはCATV回線がお勧め
auスマホはJ:COMが断然おトク!
パケットフィルタの動作確認
WiFiルータに設定を入れたら動作確認を行います。
YouTubeが映らない確認
さきほど説明した設定を入れれば、YouTube動画だけ閲覧できないようにはなります。いや、YouTubeにアクセスすると、サムネイル画像が表示され何も変わっていないように感じるかも知れません。そこで、動画を選択して閲覧してみてください。動画は再生できなくなっているはずです。
つまり、サムネイル画像は出ますが、
クリックしても映像は再生されない状態です
サムネイル画像を表示させるサーバと、動画配信サーバは別々のサーバなのでしょう。ストリーミング配信の動画データは、データ量が膨大で、ホイホイと引っ越しすることはできないはずです。この設定で、うまくいくとは思います。
組み合わせて使う通信制限
もちろん、スマホ依存を改善させるには、特定の通信をカットするパケットフィルタだけでは難しいです。プロ用ルータと違ってフィルター登録数に限りがあります。キッズタイマーやゲストSSIDと組み合わる必要があります。
キッズタイマーの時間制限
WiFiに接続できる時間を端末ごとにスケジュール管理するものです。拒否型MACアドレスフィルターに時間管理を追加したものなので抜け道があります。効果があるのは中学生ぐらいまでです。
この記事は、WiFiルータのインターネット利用制限であるキッズタイマー導入のメリットを紹介します。最近のWiFiルータには、キッズタイマーが搭載されています。多くのWiFiルータで採用される理由を知る ... この記事は、WiFiルータのインターネット利用制限であるキッズタイマーが親が思うように動作しない理由を説明します。キッズタイマーの問題を知り、デメリットに対処することで子どもの健全な成長をサポートしま ...
【機能ガイド】Wi-Fiルーターのキッズタイマーを利用したネット制限のメリット8選をあげてみた
【機能ガイド】buffaloキッズタイマーを利用したネット制限が効かない理由8選をあげてみた
ゲストSSIDによる時間制限
拒否型、もしくは、許可型のMACアドレスフィルターにカウントダウン管理を付けたものです。許可型のMACアドレスフィルタであれば、抜け道はないので高校生にも対応可能です。
-
-
【機能ガイド】ゲストSSIDを利用したインターネット制限とは? メリット5選、デメリット4選
この記事は、WiFiルータのインターネット利用制限機能のひとつであるゲストSSIDのメリットとデメリットを解説したものです。成果に応じてインターネット接続を許可することで、子どもの健全な成長を促進しま ...
まとめと懸念事項
我が家の環境では、YouTubeだけ映らないようにすることができましたが、ネットワーク環境によってはうまくいかないかも知れません。アクセスが集中しない対策で地域のDNSサーバによって、IPアドレスが異なる場合もあります。例えば、東京と大阪では宛先が違うって事があるかも知れません。また、GoogleがDNSへ登録するIPアドレスを変更することもあります。その場合、ここの書かれた内容は通用しないと思います。
ポイント
- パケットフィルタに対応したWiFiルータが必要
- YouTubeのサムネイルは出るがストリーミング映像は見えない
- SNSのアプリ内ブラウザにも対応可能
- YouTube以外のGoogle社のサービスは使える(たぶん)
- 設定例では、送信元をany(全端末)にしているが指定も可能
- Google社のサーバ環境が変われば設定見直しが必要
最後まで読んでいただき、まことにありがとうございました。のんびり理系おじさんは、読者の皆さまのお子様の成長を心よりお祈り申し上げます。どうしようもないとき、このページを参考にインターネット利用制限を行ってください。おじさんは、これからも、皆様の子育てのお役に立てる情報を発信していきます。
