質問

モバイル（WAN）側からのアクセスを拒否するにはどうすればいいですか？

回答

モバイル回線等の WAN 側（例えばインターフェース ecm0）からのアクセスを拒否するには、下記のように設定を行ってください。

手順概要

1. 本製品の GUI （「ネットワーク」→「フィルター」）で、入力（Input）設定タブを開きます。

2. デフォルトポリシーを「破棄（Drop）」に設定します。

3. 必要なインターフェース（例：eth0、br0）からの入力通信を許可（Accept）するルールを追加します。

4. モバイルインターフェース ecm0 に対して、特別な許可ルールが不要であれば、明示的な拒否ルールを追加せずともデフォルトポリシーによって拒否されます。

5. 上記により「モバイル(WAN)側からのアクセスが原則拒否」され、その他インターフェースは許可される構成になります。

この方法は、以下の記事で紹介している「ecm0 の Input を全て拒否し、その他は許可する設定」と同様の構成です。
こちらもあわせてご参照ください：

• フィルタ設定事例集 ＞ ecm0 の Input を全て拒否し、その他は許可する設定

モバイル側から特定通信（例：SSH や VPN）を許可したい場合は、許可ルールを先に追加し、その後デフォルトポリシーを「拒否」に設定する順序が安全です。 WAN 側からの不要な通信を遮断することで、リスクを軽減できます。ただし、必要なサービス（例えばクラウドからの管理アクセス等）がある場合は、許可対象を正しく定義しておく必要があります。