YAMAHA業務向けルーター運用構築スレッドPart21

**administrator** · 2018/05/29(火) 23:00:51.94

【お約束】
ここはYAMAHAルーターなどで小規模～大規模のネットワークを
構築、運用する人のための情報交換スレッドです。
ネットボランチシリーズ(コンシューマー向け)、業務用向け機器でもYAMAHAルーターの
設定方法、YAMAHAルーターの使い方などハードウェア寄りの話題は関連スレへ

【公式サイト】
RTXシリーズルーター
http://jp.yamaha.com/products/network/routers/
RTpro - ヤマハネットワーク周辺機器技術情報ページ
http://www.rtpro.yamaha.co.jp/
ヤマハネットワーク機器
http://jp.yamaha.com/products/network/

【関連スレ】
YAMAHAヤマハブロードバンドルーターpp select 21
https://echo.2ch.net/test/read.cgi/hard/1453996883/
YAMAHAヤマハブロードバンドルーターpp select 22
https://echo.2ch.net/test/read.cgi/hard/1485617399/

【過去スレ・前スレ】
YAMAHA業務向けルーター運用構築スレッドPart16
https://hayabusa6.2ch.net/test/read.cgi/network/1437244766/
YAMAHA業務向けルーター運用構築スレッドPart17
https://hayabusa6.2ch.net/test/read.cgi/network/1450925974/
YAMAHA業務向けルーター運用構築スレッドPart18
https://hayabusa6.2ch.net/test/read.cgi/network/1464191922/
YAMAHA業務向けルーター運用構築スレッドPart19
https://mao.2ch.net/test/read.cgi/network/1485790427/
YAMAHA業務向けルーター運用構築スレッドPart20
https://mao.5ch.net/test/read.cgi/network/1501976932/

**anonymous** · 2019/05/03(金) 20:43:09.87

ぷらら遅すぎてﾜﾗﾀ

**anonymous@fusianasan** · 2019/05/07(火) 13:07:06.80

MAP-E同士でネットボランチDNS使ったIPsecのVPNって張れるんだろうか？
出来るなら、RTX810をRTX830に置き換えたい。

**anonymous** · 2019/05/07(火) 13:30:24.45

そもそも使えないだろ

**anonymous** · 2019/05/07(火) 14:23:41.61

>>953
V6でやれよ

**anonymous** · 2019/05/07(火) 14:49:22.14

>>953
ipq.jp のＶ６プラスなら全ポート使えるしV４は固定ＩＰ

**anonymous@fusianasan** · 2019/05/07(火) 19:51:33.95

逆引き設定が自由に出来ないIPv4固定などイラネ

**anonymous** · 2019/05/07(火) 20:09:12.95

逆引きはプロパイダ次第だからなぁ
固定1でも逆引きできるプロパイダもあれば
最低IPx4じゃないと受け付けないプロパイダもある

**anonymous** · 2019/05/07(火) 21:02:55.22

逆引きするような固定って、自前でメールサーバとか全部持ってるってこと？

**anonymous** · 2019/05/07(火) 22:00:20.48

メールサーバーのみだろうな、ほかのサービスで逆引きチェックなんかまずしない
会社の規模やBtoB構成によっては中途半端にクラウド化できない場合もある

． · 2019/05/08(水) 00:06:31.60

年度末が終わったから、発情期を迎える季節のはずなのに忙しい
どうしてなんだ

**anonymous** · 2019/05/08(水) 06:43:03.61

AprilUpdateが来たらまた忙しくなるんだろうな

**nanashi** · 2019/05/08(水) 20:53:48.32

今時メールサーバでもSPF書いとけばほぼ大丈夫。

**anonymous@fusianasan** · 2019/05/09(木) 06:57:07.53

ヤマハルータ入れてる規模で今時メールサーバーの自社管理なんてリスクでしかないような
専業で管理できるならいいけど

**anonymous@fusianasan** · 2019/05/09(木) 07:28:24.42

メールサーバー管理してたけど最悪だったよsendmail結局使いこなせなかったからqmailにして
何かやらかしそうだったから他所に丸投げした
あんなもの一人では管理できんよ他の業務もやりながらだと

NATの使えるルーターもまだ高価すぎてFreeBSD 2.xぐらいのPCルータでやってたわ
ヤマハのルータが出てきてからは本当に助かった

**anonymous** · 2019/05/09(木) 08:39:52.99

qmail作者の癖が強すぎてマニュアル読むにしても
イライラしっぱなしだったわ
結局postfixにした

メールサーバーで逆引きチェックなんてしてたら
届かないメールがあるとかで苦情くるから結局やらなかったわ

**anonymous** · 2019/05/09(木) 21:14:48.60

別の板で、なんでプロキシサーバなんてあったんだ？みたいな話が出た時にIPマスカレードとか思い出したっけ。

って思い出語るスレ？

**anonymous@fusianasan** · 2019/05/19(日) 09:26:29.63

FWX120 不具合のご案内
https://network.yamaha.com/support/notice/fwx120_unsavable
弊社製ファイアウォール「FWX120」におきまして、設定情報やファームウェアの保存ができない不具合が発生することが判明いたしました。

こんなお知らせあったのか

**anonymous@fusianasan** · 2019/05/19(日) 21:08:11.20

ふと思ったが、Andoroidって、標準ではファイアヲール非搭載のようだね。
netstatで調べてみると、通信中のTCPポートは開いていた。
RTXのように動的フィルタが動作しているものだと思っていたので、意外だった。

大丈夫なものなんだろうか。
プロセス内で動的フィルタ相当の処理がされているのなら大丈夫なんだろうけどね。

**anonymous@fusianasan** · 2019/05/20(月) 00:14:14.42

>>969
ソケットを勉強したまえ
それ以前にスレ違い

**anonymous@fusianasan** · 2019/05/20(月) 08:32:53.59

ポート空いてないと通信できないのでは

**anonymous** · 2019/05/20(月) 08:35:42.05

RTスレ的には、VPN有効にしてスマホをVPN接続にするとかかね

**anonymous@fusianasan** · 2019/05/20(月) 10:16:10.60

>>970
ソケットはプロセスに繋がっている。
RTXなどがあれば、あらかじめ動的フィルタで意図しない通信が防げるが、
Andoroidにはそういうパケットフィルタが備えられていないみたいなので、
ソケットが剥き出しになっているということですよね。

それとも、そのソケットは全OSで共通に対策機構を継承しているっていうの？

**anonymous@fusianasan** · 2019/05/20(月) 10:18:41.14

>>972
AndroidでVPNを有効化すると、
Androidは、udp500、Espパケットしかうけつけなくなるのかな？
それ以外のポートが開かなくなるのだろうか。

接続先にRTXがあれば、そこでインターネット接続をフィルタリングで制御すればいいことになるよね。

**anonymous@fusianasan** · 2019/05/20(月) 10:19:25.40

>>971
それはわかっているんです

**anonymous** · 2019/05/20(月) 10:38:56.98

androidでhttpサーバー的なサーバープロセスが動いてない限りは
待ち受けポートは無いと思うけど
wifiで接続していないキャリア接続の時に外部からポートスキャンでもかけてみたら？

クライアントがサーバー側との通信の為に開いているポートは
TCPならセッションハイジャックとかしないと無理じゃね？

フィルター関係なしに
サーバーとして開くポートとクライアントとして開くポートは理解したほうがよろしいよ

**anonymous** · 2019/05/20(月) 10:46:05.06

もしくはwifiで同じネットワーク内になる事は多々あるし
そこで割当たったアドレスに対しポートスキャンでもかけてみては？

仮にRTとかでフィルターかけてるから大丈夫だい！って説明されても
ホテルとかの無料wifiとかで繋げば丸腰になってしまうし
内部攻撃に対してひどく脆弱な存在になってしまう

**anonymous** · 2019/05/20(月) 11:33:36.13

スレタイ読めないキチガイ多すぎない？

**anonymous@fusianasan** · 2019/05/20(月) 21:03:10.54

運用構築スレッド、略してうん○スレッドやな！

**anonymous** · 2019/05/20(月) 22:50:41.45

スレタイ通りやないかｗ

**anonymous@fusianasan** · 2019/05/21(火) 00:53:38.66

>>976
目から鱗です。
サーバーが開いているポートと違って、クライアントが開いているポートへのアクセスは、
セッションハイジャック技術が必要になると聞き安心しました。

そう言えば、ちょっと前に、LinuxにTCPに関する脆弱性があって、セッションハイジャックできる問題がありましたよね。
Andoroidもその影響を受けたという記事を見つけました。

TCPプロトコルによってクライアントは保護されているということが言えるのかもしれませんね。

>>977
こんど固定IPのSIMをAndoroidにつけてみて、ポートスキャンテストしてみます。

>>978
RTXに応用できます。
たとえば、NATが開いているポートは節穴で、パケットを内側マシンに通しているだけで、
TCP制御とは関係なさそうですね。

>>979
うんこ？←構
うんち？←築

>>980
はい。Androidを通して得たTCPポートに関する考察を、RTXに活かすことができます。

RTXをネットワークに設置して、動的フィルタを置くことで、無用なセッションハイジャック攻撃を避けられるのだと思います。
OSのアップデートに神経質にならなくても良いのかもしれません。

一方、AndroidにはRTXのような防御壁がないので、
クライアントのポートに対するセッションハイジャックのような攻撃をされないように、
アップデートが肝要になるということが言えると思います。

**anonymous@fusianasan** · 2019/05/21(火) 10:29:15.69

RTXなんて防御壁なんか無いからな、インターネットに接続するのはFortiGateとかのUTM使うのが普通だぞ安いし。GUI見たら違いに笑いが止まらないかもなwww

**anonymous** · 2019/05/21(火) 21:41:26.40

Winny、Shareフィルタがある！！！
時事ネタは中小企業の経営層への説明に有利なんだぜ

**anonymous@fusianasan** · 2019/05/21(火) 23:40:58.71

15年程前のネタだな

**hage** · 2019/05/22(水) 15:06:10.29

>>982
FortiGateとか推す奴ら、なにから自分を守りたいのか分かってないの多いんだよな

**anonymous** · 2019/05/22(水) 15:32:21.44

>>985 とはいえ、フォーティーやパロアルトで防げる脅威は
RTXでは何一つ守れないし可視化もできないよ

syslogやSNMPをいくら集めて解析しても無理だからね

だからこそ、大手の顧客はUTMの導入実績の有無を確認する
未導入なら取引停止それだけの事

そういう意味で、UTMは「仕事を守るため」に必要なんだよ
実際の脅威から守るのではなく「顧客からの要件を満たす」為に必要

もう、Windowsアップデートやってます、アンチウイルス入れてます
だけでは顧客は納得しない時代になったんだよ

**anonymous@fusianasan** · 2019/05/22(水) 16:19:47.90

>>986
パケットフィルタぐらいできるだろw
何一つ出来ないってお前こそ白痴か？

**anonymous** · 2019/05/22(水) 16:21:37.56

パケットフィルタでは客のUTM要求に〇は付けられない

白痴かお前は？

**anonymous** · 2019/05/22(水) 16:25:26.37

パケットフィルタで防げる用なレベルの攻撃の話はしてないでしょ

**anonymous@fusianasan** · 2019/05/22(水) 16:50:02.85

ちなみに、どういう客がUTM要求するの？

**anonymous** · 2019/05/22(水) 17:33:56.27

>>990 大手の旅行業と学校・病院関係かな
あと公の入札案件でも増えてきた

ソフト更新・管理・保守をリモートで行う必要がある案件だね

2年前まではここまで厳しくなかったけど
・PCI-DSS
・マイナンバーカード
このキーワードが聞こえ始めたころから
UTM要求が増えてきた感触がある

まぁ規模感もあるとは思うけど、そういう顧客の仕事をするなら
パロは結構高いけど、フォーティーは安いの有るし
RTXの下でも交換でも良いけど検討し始めた方が良いんじゃね

**anonymous@fusianasan** · 2019/05/22(水) 20:39:46.55

>>990
士業とかに売れる売れる
ISO好きなとことかPマーク持ってるとことか。
FWX120でどこまでできるかなーって思ったら大したことなくてFortiGateバンドルで売ってるわ

**anonymous@fusianasan** · 2019/05/22(水) 22:10:50.25

うちも予算ありあまってんで、12人しかいない会社だけど、over spedのFortigate 200E入れちゃったけど、
みんな変なサイトとかアクセスしないから、全然ひっかからない。
ログ見るとひっかかっているのは全部自分宛てに来たメールに添付のウイルスだったりする。

実感としてFortigateでひっかけてくれるのは、Windows Defenderと同レベルの感じなんだが、
Windows Defenderよりも性能いいの？

まあ、同じレベルであったとしても、とりあえず入れておけば言い訳になるから、何らかのUTMは結局入れるんだが。

ちなみに、親会社ではFireEyeを入れているけど、ウイルス感染のPCが出て大騒ぎになっていた。

**anonymous@fusianasan** · 2019/05/22(水) 22:16:48.95

情報処理安全確保支援士の午後の問題に良く出てくる

**anonymous** · 2019/05/22(水) 23:45:36.20

>>993 UTM(NGFW)は確かに総合セキュリティ機器だけど
アンチウイルスはどうでもいいというかそれは別のもので対応する

アプリの可視化がUTMのメインでレポート機能の善し悪しが重要視される
だから、そこを強化してきたフォーティーとパロアルトがおすすめされる
性能なんかどうでもいいというか・・・
未対策はどんな言い訳してもダメ、対策してればとりあえずどれでもいい
って感じ

んで、アンチウイルスは
・ファイルIOをトリガに検知するタイプ
はもう役立たずかな、まぁあっても良いけどそれはWin標準のDefenderでいい
ファイルレスウイルスが増えてきてるのでファイルIOトリガ式は効果的じゃない

だから、パソコンは
1.おまじないレベルの WindowsDifender
2.ランサム・標的対策の Cylance的な奴
3.情報漏洩対策の SKYSEA/LanScopeCat/ISMCloudOneなど
＋ UTM(NGFW)
＋第三者認証

って感じになる
UTMあるからPCの対策いらねぇ～にはならんよ

あとは情シスがどんだけ、その手のトレンドを理解してるかだよ

**anonymous@fusianasan** · 2019/05/22(水) 23:53:16.52

UTMつかったら具体的にどういうことの防止になるの？

**nanashi** · 2019/05/22(水) 23:57:11.73

>>993
webフィルタでpost系設定しとくと楽しくなるんじゃね。

**anonymous@fusianasan** · 2019/05/23(木) 06:35:30.78

今はHTTPSばっかで見えねぇからEDRにするわ、とかいうところが…。

**anonymous** · 2019/05/23(木) 08:20:36.32

>>996 可視化だよ
社員のだれが、どんなネットアプリを、どれくらい使ったか
が判る

**anonymous** · 2019/05/23(木) 09:33:21.99

YAMAHA業務向けルーター運用構築スレッドPart22
http://mao.5ch.net/test/read.cgi/network/1558571559/

**1001** · Over 1000

このスレッドは１０００を超えました。
新しいスレッドを立ててください。
life time: 358日 10時間 32分 31秒

**1002** · Over 1000

5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。

───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────

会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。

▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/

▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php