YAMAHA業務向けルーター運用構築スレッドPart21
レス数が1000を超えています。これ以上書き込みはできません。
>>890
たぶんL2TP/IPsecかPPTPなんだろう
フィルターはPPだけで良いのかな?
show ip routeをすると経路がpp[anonymous]って出るし 中国企業は国に情報提供要求されたら断る事は無い
・・・というか、常に情報収集されてると思った方が良い FA向けとか出して欲しいな。
なんか中小企業に売りやすい商品が欲しい。
L3SWとか正直いらない。激安で遠隔電源リセットできる程度の島HUBがあれば十分
まとめて売っちゃうから ようやく ADSL→ネクスト にするところなんですが、
ひかり電話も使うとき、 フレッツ網内 v6 でも色々と遊ぶ場合、
HGW 一体型のほうがいいのか、ONU とひかり電話と別体のほうがいいのか、どっちがお薦めですか
エリアは西です。
ちなみに、隼じゃなくてハイスピードに留めてとこうと思ってます プレフィックスが違うのと、DHCPv6-PD の関係がどう作用するのかよく分からんとです。 ひかり電話契約する、しないでしかipv6の環境は変わらん >>905
>隼じゃなくてハイスピードに留めて
どうして? >>909
905じゃないけどVPNワイドを使うんじゃね
値段が全然違う ヤマハは新製品数年に1度出すだけなの?
のんびりし過ぎじゃね? ここのところこんな順番で5、6年周期だろ。
コンシューマー向けの商売じゃないし、エンタープライズ製品ならこんなもんだよ。
1. センタールーター(RTX5k / 3k)
2. VPNマルチポートルーター(RTX12x0)
3. 無線LAN(WLX)
4. ハイアマ/SOHOルーター(NVR)
5. 拠点ルーター(RTX8x0) 業務向けルーターに頻繁なラインナップ更新は望まれてない まるでほかの業務向けルーターが頻繁に新製品だしているようなw
家庭用のルーターにしたって有線モデルなんて10年放置どころか開発中止も多いだろうに
無線は規格が更新していくので対応も必要だろうけど
有線は既存機で対応できないような大きな変化はないからな >>912
ファームアップがしばしばある。
機能改善。
ハードでなく、ソフトも大切。 >>913
一般でも無くエンタープライズでも無い所がターゲットなのがヤマハだと思うw よくわからんけど、企業で売り切りで買ってる人は少数派なのかな? RTX1200って
tftp host 192.168.0.0-192.168.255.254
通らないのね。ちょっと意外 RTX1210とRTX830は、それが通るんだね。
むしろそれを知らなかったわ。 >>921
むしろ、アクセスを禁止する範囲を設定したい。 >>923
filterに制御させるようにすればいいんだろうけど、たぶんそういうコードで作ってなさそう >>924
自分でfilterで制御させる場合、
名前解決(udp 53)とか、DHCP関係とか、通さないといけないものがあるので、
フィルタ方法に注意が必要だな。
ip filter reject ネットワークアドレス RTXアドレス tcp * telnet
ip filter pass * *
のようにパスフィルタも忘れないようにしないといけないな。 運用的にTFTPは必要な時に必要な端末通せばよいだけだし USBなりSDメモリの運用をまじめに覚えろと・・・ CONFIG流し込みでパスワードも流し込めると楽なんだよなぁ。 >>909 >>910
隼でも実際には200M超えること滅多にないと思うし、
みんな隼だから、むしろハイスピードのほうがバックボーン空いてるんじゃないのかという期待。。 100M 出れば御の字
混雑時間帯は ADSL並、って聞いてますが、200M 超えれるんですか?
200M 超えるのが未明限定だったら要らないし。。。 >>932
全部ひっくるめてエリアとISPに依る、じゃないかなぁ。
隼とハイスピードの設備が一緒か別れてるかも含めて。 >>932
西だけどフレッツ隼 RTX1200のIPv4 PPPoE接続で400Mbpsくらい出てるな うちの会社v6使ってるけど、支社全部フレッツライトにしてるけど60〜80Mbpsは安定して速度でてるよ。
ギガ使ってるとこなら450Mbpsは平均で出てるし、ルーター間pingで2msで応答返ってくる。 >>937
v6のIPアドレス特定はどうしてる?
固定と仮定して設計してる? NGNだけならネーム使えば良かろう
まあ、ipでも変わらんだろうが 半固定のサービスで固定と仮定するアホはおらんだろ・・・
DDNSだからOK なんて言ってる管理者がいたら素人前に付けろ ネットボランチDDNSだけど、昨日の夕方(5/2 18時ごろ)に突如、
netvolante-dns go lan* (auto)
↓
[DDNS] 105 Hostname error.
がログに記録されて、いまも go を試行したところ同じエラーが出てDDNS登録できていない
(名前解決しない)んだけど障害でもないよね。
同様の症状が出ている方いません? >>943
マジ・・・
休み中に*また*障害起きてるのか
設定ミスってるルータがあって8時間で絶対切れる拠点あるけど終わってそう うーん、まだエラーがでるなあ…
HostnameやServerを替えて試行しているけど同様。
なんだろう。うちだけかな。
>>945
教えて君でごめん。
いわれてみれば、と利用廃止を検討したいんだけど、どんな代替策がある? >>947
2019/05/03 11:14:39: [DDNS] netvolante-dns go PP[01] (auto)
2019/05/03 11:14:40: [DDNS] Update succeeded
いまは通るな。前の障害のときは一部通らずだったからホストが一部落ちてるんだろうな
>>783書いたの俺だけどこの辺使ってみるといい いまだとLUA使えるから
schedule at 1 */* *:*:1 * lua -e "rt.httprequest({url=\"http://ieserver.net/cgi-bin/dip.cgi\?username=USERID&password=PASSW0RD&domain=dip.jp&updatehost=1\",method=\"GET\"})"
schedule at 1 */* *:*:1 * lua -e "rt.httprequest({url=\"http://f5.si/update.php\?domain=DDNSHOSTNAME&password=PASSW0RD\",method=\"GET\"})"
なんて技でもいいけど。どうせパスワードなんてconfig見られた時点で見られたようなもんだし >>948
情報ありがとう。こっちはまだ
11:35:10: [DDNS] Hostname error
.なんで、うちの問題っぽいかな…。
>>949
それもDDNSに変わりないのでは… 落ちて困る拠点間なら、固定IPアドレスつかうか
プロバイダーが提供しているDDNSサービス使うとか
たしかぷららで使えたと思った MAP-E同士でネットボランチDNS使ったIPsecのVPNって張れるんだろうか?
出来るなら、RTX810をRTX830に置き換えたい。 >>953
ipq.jp のV6プラスなら全ポート使えるしV4は固定IP 逆引きはプロパイダ次第だからなぁ
固定1でも逆引きできるプロパイダもあれば
最低IPx4じゃないと受け付けないプロパイダもある 逆引きするような固定って、自前でメールサーバとか全部持ってるってこと? メールサーバーのみだろうな、ほかのサービスで逆引きチェックなんかまずしない
会社の規模やBtoB構成によっては中途半端にクラウド化できない場合もある 年度末が終わったから、発情期を迎える季節のはずなのに忙しい
どうしてなんだ AprilUpdateが来たらまた忙しくなるんだろうな ヤマハルータ入れてる規模で今時メールサーバーの自社管理なんてリスクでしかないような
専業で管理できるならいいけど メールサーバー管理してたけど最悪だったよsendmail結局使いこなせなかったからqmailにして
何かやらかしそうだったから他所に丸投げした
あんなもの一人では管理できんよ他の業務もやりながらだと
NATの使えるルーターもまだ高価すぎてFreeBSD 2.xぐらいのPCルータでやってたわ
ヤマハのルータが出てきてからは本当に助かった qmail作者の癖が強すぎてマニュアル読むにしても
イライラしっぱなしだったわ
結局postfixにした
メールサーバーで逆引きチェックなんてしてたら
届かないメールがあるとかで苦情くるから結局やらなかったわ 別の板で、なんでプロキシサーバなんてあったんだ?みたいな話が出た時にIPマスカレードとか思い出したっけ。
って思い出語るスレ? FWX120 不具合のご案内
https://network.yamaha.com/support/notice/fwx120_unsavable
弊社製ファイアウォール「FWX120」におきまして、設定情報やファームウェアの保存ができない不具合が発生することが判明いたしました。
こんなお知らせあったのか ふと思ったが、Andoroidって、標準ではファイアヲール非搭載のようだね。
netstatで調べてみると、通信中のTCPポートは開いていた。
RTXのように動的フィルタが動作しているものだと思っていたので、意外だった。
大丈夫なものなんだろうか。
プロセス内で動的フィルタ相当の処理がされているのなら大丈夫なんだろうけどね。 >>969
ソケットを勉強したまえ
それ以前にスレ違い RTスレ的には、VPN有効にしてスマホをVPN接続にするとかかね >>970
ソケットはプロセスに繋がっている。
RTXなどがあれば、あらかじめ動的フィルタで意図しない通信が防げるが、
Andoroidにはそういうパケットフィルタが備えられていないみたいなので、
ソケットが剥き出しになっているということですよね。
それとも、そのソケットは全OSで共通に対策機構を継承しているっていうの? >>972
AndroidでVPNを有効化すると、
Androidは、udp500、Espパケットしかうけつけなくなるのかな?
それ以外のポートが開かなくなるのだろうか。
接続先にRTXがあれば、そこでインターネット接続をフィルタリングで制御すればいいことになるよね。 androidでhttpサーバー的なサーバープロセスが動いてない限りは
待ち受けポートは無いと思うけど
wifiで接続していないキャリア接続の時に外部からポートスキャンでもかけてみたら?
クライアントがサーバー側との通信の為に開いているポートは
TCPならセッションハイジャックとかしないと無理じゃね?
フィルター関係なしに
サーバーとして開くポートとクライアントとして開くポートは理解したほうがよろしいよ もしくはwifiで同じネットワーク内になる事は多々あるし
そこで割当たったアドレスに対しポートスキャンでもかけてみては?
仮にRTとかでフィルターかけてるから大丈夫だい!って説明されても
ホテルとかの無料wifiとかで繋げば丸腰になってしまうし
内部攻撃に対してひどく脆弱な存在になってしまう >>976
目から鱗です。
サーバーが開いているポートと違って、クライアントが開いているポートへのアクセスは、
セッションハイジャック技術が必要になると聞き安心しました。
そう言えば、ちょっと前に、LinuxにTCPに関する脆弱性があって、セッションハイジャックできる問題がありましたよね。
Andoroidもその影響を受けたという記事を見つけました。
TCPプロトコルによってクライアントは保護されているということが言えるのかもしれませんね。
>>977
こんど固定IPのSIMをAndoroidにつけてみて、ポートスキャンテストしてみます。
>>978
RTXに応用できます。
たとえば、NATが開いているポートは節穴で、パケットを内側マシンに通しているだけで、
TCP制御とは関係なさそうですね。
>>979
うん こ?←構
うん ち?←築
>>980
はい。Androidを通して得たTCPポートに関する考察を、RTXに活かすことができます。
RTXをネットワークに設置して、動的フィルタを置くことで、無用なセッションハイジャック攻撃を避けられるのだと思います。
OSのアップデートに神経質にならなくても良いのかもしれません。
一方、AndroidにはRTXのような防御壁がないので、
クライアントのポートに対するセッションハイジャックのような攻撃をされないように、
アップデートが肝要になるということが言えると思います。 RTXなんて防御壁なんか無いからな、インターネットに接続するのはFortiGateとかのUTM使うのが普通だ ぞ安いし。GUI見たら違いに笑いが止まらないかもなwww Winny、Shareフィルタがある!!!
時事ネタは中小企業の経営層への説明に有利なんだぜ >>982
FortiGateとか推す奴ら、なにから自分を守りたいのか分かってないの多いんだよな >>985 とはいえ、フォーティーやパロアルトで防げる脅威は
RTXでは何一つ守れないし可視化もできないよ
syslogやSNMPをいくら集めて解析しても無理だからね
だからこそ、大手の顧客はUTMの導入実績の有無を確認する
未導入なら取引停止 それだけの事
そういう意味で、UTMは「仕事を守るため」に必要なんだよ
実際の脅威から守るのではなく「顧客からの要件を満たす」為に必要
もう、Windowsアップデートやってます、アンチウイルス入れてます
だけでは顧客は納得しない時代になったんだよ >>986
パケットフィルタぐらいできるだろw
何一つ出来ないってお前こそ白痴か? パケットフィルタでは客のUTM要求に〇は付けられない
白痴かお前は? パケットフィルタで防げる用なレベルの攻撃の話はしてないでしょ >>990 大手の旅行業と学校・病院関係かな
あと公の入札案件でも増えてきた
ソフト更新・管理・保守をリモートで行う必要がある案件だね
2年前まではここまで厳しくなかったけど
・PCI-DSS
・マイナンバーカード
このキーワードが聞こえ始めたころから
UTM要求が増えてきた感触がある
まぁ規模感もあるとは思うけど、そういう顧客の仕事をするなら
パロは結構高いけど、フォーティーは安いの有るし
RTXの下でも交換でも良いけど検討し始めた方が良いんじゃね >>990
士業とかに売れる売れる
ISO好きなとことかPマーク持ってるとことか。
FWX120でどこまでできるかなーって思ったら大したことなくてFortiGateバンドルで売ってるわ うちも予算ありあまってんで、12人しかいない会社だけど、over spedのFortigate 200E入れちゃったけど、
みんな変なサイトとかアクセスしないから、全然ひっかからない。
ログ見るとひっかかっているのは全部自分宛てに来たメールに添付のウイルスだったりする。
実感としてFortigateでひっかけてくれるのは、Windows Defenderと同レベルの感じなんだが、
Windows Defenderよりも性能いいの?
まあ、同じレベルであったとしても、とりあえず入れておけば言い訳になるから、何らかのUTMは結局入れるんだが。
ちなみに、親会社ではFireEyeを入れているけど、ウイルス感染のPCが出て大騒ぎになっていた。 >>993 UTM(NGFW)は確かに総合セキュリティ機器だけど
アンチウイルスはどうでもいいというかそれは別のもので対応する
アプリの可視化がUTMのメインでレポート機能の善し悪しが重要視される
だから、そこを強化してきたフォーティーとパロアルトがおすすめされる
性能なんかどうでもいいというか・・・
未対策はどんな言い訳してもダメ、対策してればとりあえずどれでもいい
って感じ
んで、アンチウイルスは
・ファイルIOをトリガに検知するタイプ
はもう役立たずかな、まぁあっても良いけどそれはWin標準のDefenderでいい
ファイルレスウイルスが増えてきてるのでファイルIOトリガ式は効果的じゃない
だから、パソコンは
1.おまじないレベルの WindowsDifender
2.ランサム・標的対策の Cylance的な奴
3.情報漏洩対策の SKYSEA/LanScopeCat/ISMCloudOneなど
+ UTM(NGFW)
+ 第三者認証
って感じになる
UTMあるからPCの対策いらねぇ〜 にはならんよ
あとは情シスがどんだけ、その手のトレンドを理解してるかだよ UTMつかったら具体的にどういうことの防止になるの? >>993
webフィルタでpost系設定しとくと楽しくなるんじゃね。 今はHTTPSばっかで見えねぇからEDRにするわ、とかいうところが…。 >>996 可視化だよ
社員のだれが、どんなネットアプリを、どれくらい使ったか
が判る レス数が1000を超えています。これ以上書き込みはできません。