NEC UNIVERGE IX2000/IX3000 運用構築スレ Part8©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
NEC UNIVERGE IX2000/IX3000シリーズに関するスレです
【公式サイト】
UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC
http://www.nec.co.jp/ixseries/ix2k3k/
関連スレ
・宅鯖に最適なルータは? @ ウィキ
http://www39.atwiki.jp/takurouter/
・NEC系装置勉強会(MM-Node,IP45,ATOMIS etc)
http://engawa.2ch.net/test/read.cgi/network/1013516441/
・宅鯖に最適なルータは? 4セッション目 (dat落ち、次スレなし)
http://pc11.2ch.net/test/read.cgi/mysv/1199977508/
前スレ:NEC UNIVERGE IX2000/IX3000 運用構築スレ Part7
http://hayabusa6.2ch.net/test/read.cgi/network/1369194775/ >>100
ええじゃん。それ好きだよ
まあ最近はVPSが優秀だからあんまり自宅でどうこうする必要がなくなったがな MRTGといえば、後継のRRDtoolを14all.cgiとかいうスクリプトと組み合わせて使おうとしたことがあるが、
途中でわけが分からなくなって挫折したな
CactiとかZabbixとかの存在を知ったのはその後だった 初心者で申し訳ない
IX2207、IX2105でMACアドレスを手動で設定できるコマンドってありませんか?
コマンドリファレンスみたけどそれらしきものが見当たらなかったもので なぜ最初にコマンドリファレンスを見るw
機能説明書の目次2-41に書いてある機能なんじゃないの? 装置自体のMACアドレスを偽装したいっていうなら無理だから潔く諦めろ
KDDI系の回線使っている奴らが過去に散々試したから
スループットを犠牲にしても構わないなら、IX---ホームゲートウェイ---インターネットの形でできるかも ホームゲートウェイ強制の流れはまじで死ね
選べるようにしろ >>106
回答有難うございます
偽装というかサーバー側がMAC認証なんで、予備機を置いときたいときに2機とも同じMACアドレスにしとかないと駄目じゃんと考えたもので
今手元にあるバッファローのルーターは手動設定が出来てるもので聞いてみました >>108
基本的にデバイスとMACアドレスは1:1で紐付いているべきものなので
サーバ側にIXのMACアドレスを登録する方が正しい使い方と思います
運用面でも予備機かどうか区別出来たほうがいいのでは? 機能の種類によっては業務用よりも家庭用の方が先進的と言える部分があるんだよな
思い出したように話題に挙がる仮想MACアドレスとか
先進的って言い方は変かもしれないけどさ
典型的なのが無線LANの規格で、家庭用で『n』が普及しても業務用はa/gからなかなか発展しなかったし >>109
>>110
ご回答有難うございます
やはり変えられないのが正当なんでしょうね
サーバー側に聞いてみます だいたい3、6、9、12月の年4回くらいのチェックで足りるんだよな YAMAHAがRTX5000&3500出してきて大分経つけど
NECはマルチコアCPU使ったIX3110の後継出さないのかな?
発売されれば3110が大量放出されそうだから楽しみにしてる YAMAHAのセンタルータは安定性に欠けるイメージが強い YAMAHAは一般向けも良くない。ちょっと攻撃されると直ぐCPU負荷100%になって
通信できなくなる。その攻撃受けてるときにIX2015に変えただけで、CPU負荷40%
くらいにはなったけどいつもと変わらず普通に使えた。 スペックが良くないのもあるけどソフトがよくないよね
CPUが格段によくなったRTX1210ではだいぶましになったけど
RTX1100とかなんで売れてるのか理解出来ないレベルだったな
家鯖やってるやつとかがRT58iとかRTX1100とかに変えて
家庭用の時より逆に悪くなったとかよく聞いた。
ix2015のNAT処理の速さは当時としては神がかりだったね
RTX1210でもNATテーブルが増える度に1msずつルーティングが遅くなってくし。
え、RTXはそういう目的のルーターじゃないって? RTXは設定可能値をスペック値としているが
IXは動作保証値をスペック値としている違い 富士通も古河電工(filtelnet)も業務用ルータはあるが、いかんせんなじみがないので皆YAMAHAに流れる
なんせビッグやヨドバシの店頭に置いてあって気軽に買えるのはYAMAHAのRTXくらい
Webの技術情報も異常なくらい充実してるしな
よくもまあテキストであんな図を描こうと思うわ ヤマハは不特定多数、鯖にはむかない
あれは拠点同士でトンネル掘って、外向けは全部閉じる用途で使うもの 2ちゃんでスレが過疎ってる、もしくは死んでるも同然な機器は見向きもされないだろう
通信技術板のルータ関連でわずかでも勢いのあるスレってこことYAMAHAくらい
Ciscoに至っては、公式サイトで検索して意味が分からないなら扱うべきではない 技術サポートすれば本当に売れると思うけど
大手さんは小口なんて相手する気ないからしょうがないか 昔はマクドナルドで使われてたんだっけ?
次に入札に買ったのが富士通で、機器が全部入れ替わるからっていうんで、中古のIXがわんさか出回って値崩れしたって
昔何かで見たか聞いたかしたことがあるけど
そういうところと一件決まってしまえば、1店舗に1台の設置だったとしても一気に何百台お取引いただきました〜の計算だもんな
何よりも、自宅鯖やVPNなんてのは世間からすればまだまだマニアの領域なだけに個人市場の拡大には限界がある 業務用Atermみたいなのはないのかと探していたらWAシリーズなんてあるのな
初期モデルはIXとペアで使うことが前提のアクセスポイントというか、ホテルルーターみたいなものだけど、
最新モデルはLANも4ポート用意されていて個人利用も想定できるようになってきた
しかし、高いなぁ ルーターならともかく、専用無線APに4ポートも使うだろうか・・ >>130
最新モデルはPPPoEも喋れる普通の無線LANルータみたいだが? ix2215ど安定過ぎて家庭用ではやる事が何もなくなった
WOLの設定したら、PCシャットダウンした時に何度か勝手に再起動する位か……
問題はix以外にある気がする VLANで group 1 group 2 にわけて
レイヤ3のルーティングでgroup 1 から group 2 に通信する方法ってどうするのん? >>133
各グループにBVI1, BVI2といったように仮想インターフェースを作って
それぞれにIPアドレスを割り振ればればよい ! ありがとう
! しかし教えて頂いた事をヒントにやってみるも上手くいかず…
device GigaEthernet1
vlan-group 1 port 1
vlan-group 2 port 2
ip access-list v1 permit ip src 192.168.100.0/24 dest any
ip access-list v2 permit ip src 192.168.200.0/24 dest any
route-map route1 permit 100
match ip address access-list v1
set interface GigaEthernet1:2.0
route-map route2 permit 100
match ip address access-list v2
set interface GigaEthernet1:1.0
interface GigaEthernet1:1.0
ip address 192.168.100.1/24
ip policy route-map route1
no shutdown
interface GigaEthernet1:2.0
ip address 192.168.200.1/24
ip policy route-map route2
no shutdown
! 192.168.100.2 や 192.168.100.3 から 192.168.200.1 は pingが通る
! でも 192.168.200.2 や 192.168.200.3 等は通らない… つーか、普通にVLAN切っただけだったら、ルータは自分で抱えてるネットワークは
あらかじめ分かってるんだから、ルーティングの設定なんていらないと思うんだけど?
それと、通信できないって言っておきながら、頑なにアクセスリスト(ファイアウォール)を
手放さないのってなんなんだろうね? >>136
なんか言ったことが実践されていないんだが...
device GigaEthernet1
vlan-group 1 port 1
vlan-group 2 port 2
!
interface GigaEthernet1:1.0
no ip address
bridge-group 1
no shutdown
!
interface GigaEthernet1:2.0
no ip address
bridge-group 2
no shutdown
!
interface BVI1
ip address 192.168.100.1/24
bridge-group 1
no shutdown
!
interface BVI2
ip address 192.168.200.1/24
bridge-group 2
no shutdown
これで、グループ1、グループ2の端末のGWがそれぞれ192.168.100.1、192.168.200.1になっていれば通信出来るはず あれ?俺完全に勘違いしてたみたい
単純にポートVLAN切っただけで、他のインタフェースとブリッジしてるわけではないのね?
だったら
device GigaEthernet1
vlan-group 1 port 1
vlan-group 2 port 2
!
interface GigaEthernet1:1.0
ip address 192.168.100.1/24
no shutdown
!
interface GigaEthernet1:2.0
ip address 192.168.200.1/24
no shutdown
で、グループ1、グループ2の端末のGWがそれぞれ192.168.100.1、192.168.200.1になっていれば通信出来るはず >>136
IX使ってる割にその挙動よく理解してないんだけど、内向きのポリシーは要らんの?
# クラスCから外向きのポリシーは定義されてるみたいだけど >>139
ありがとう
route-map を削除したらいけました
しかし実際の運用では access-list を指定して細かく色んな出口を振り分け、
それ以外のルートは決まった出口に出るようにしています
route-map route1 permit 100
match ip address access-list al1
set interface GigaEthernet0.1
route-map route1 permit 200
match ip address access-list al2
set interface GigaEthernet0.2
route-map route1 permit 10000
match ip address access-list all
set interface GigaEthernet0.3
そこで route-map を使い、宛先が 192.168.200.1/24 のときは
interface GigaEthernet1:2.0 へと振り分けたいのですがどの様にすればよいのでしょうか?
私が先述記載した設定では上手くいきませんでした… > ! でも 192.168.200.2 や 192.168.200.3 等は通らない…
そもそも192.168.200.2や192.168.200.3に該当するPCって存在してる(接続してる)のかな?
あとは、OSと問わずそれぞれのPCのパーソナルFWの設定でICMPの送受信を許可してあるのか?
とか色々と情報が足りない気がする
WindowsマシンだってXPからMS謹製のFW(ただし受信専用)が動いていて、Vistaからは送受信
ともチェックするようになったからな
UNIX/Linixはiptables(今はnftables?)を使ってなければヌードだが
Macは知らん >そもそも192.168.200.2や192.168.200.3に該当するPCって存在してる(接続してる)のかな?
存在しています
>あとは、OSと問わずそれぞれのPCのパーソナルFWの設定でICMPの送受信を許可してあるのか?
直接接続や同一セグメントないの通信等で許可になっていると確認してあります
またIXからは192.168.200.2や192.168.200.3にpingが通ります >>141
VLANとroute-mapと2種類のプロバイダを駆使して色々やっている人のページがあったぞ。
https://sites.google.com/site/tohinav/nettowaku-kanren/burodobandoruta/nec-ix2015
ちなみに検索キーワードは、"ix2015" "vlan" これだけだ。
あとは、"ix2015" "vlan" "ルーティング" とか "ix2015" "vlan" "ポリシールーティング" とかでもいいだろう。
あとは、好きな飲物を用意してからじっくりと公式の設定事例集を読むことをすすめる。
まず2ちゃんで相談とかやってると見落とされがちだが、仮にも公式資料なんだからちゃんと書いてあるはずなんだよ。
『ポリシールーティング』の項目を追ってみるといい。
あと少しだ、がんばれ。 >>141
> 宛先が 192.168.200.1/24 のときは
というのであれば、
ip access-list v2 permit ip src 192.168.200.0/24 dest any
ではなく、
ip access-list v2 permit ip src any dest 192.168.200.0/24
になるんじゃないの?
んで、ルートマップはインタフェースに適用しないと何の意味もないって説明書自ら書いてあるから、
ip access-list v2 permit ip src any dest 192.168.200.0/24
route-map route2 permit 100
match ip address access-list v2
set ip next-hop 192.168.200.1
ってやって、ルータを通過するパケットの内で192.168.200.0/24宛のパケットは全部192.168.200.1(=GigaEthernet1:2.0)
に集中するようにすればよくね? >>141
route-map 使うときは経路選択の使い方に注意して
set interface が使えるのはPPPoEとかトンネルインタフェースとかに限る
それ以外は set ip next-hop にする >>145
すまん、追加
> ルートマップはインタフェースに適用しないと何の意味もない
って言っておきながら忘れたわ
ip policy route-map route2
をルータのGigaEthernet1:2.0以外のインタフェースに適用な 上手くいったらコンフィグ公開してくれ
実運用のコンフィグ例は貴重だ みんなありがとう
上手くいきました
ちなみにいけなかったところはこちら(>>145)のご指摘通りの部分でした…
詳しくは>>136に対し以下の変更を行うことで希望の動作が得られました
>ip access-list v2 permit ip src 192.168.200.0/24 dest any
↓
>ip access-list v2 permit ip src any dest 192.168.200.0/24
それとこちら(>>145-146)の set ip next-hop なんですが、
>set ip next-hop 192.168.200.1
としても、192.168.200.0/24 宛が192.168.200.1 で止まってしまい
到達確認が出来ませんでした。(VLANグループの中だから?)
なのでこちらは set interface GigaEthernet1:2.0 のままとしました
以上、最後までお付き合い頂いてありがとうございます
本当に助かりました >>150
無線ルーターとして使わないから
詳しくない >>150
UNIVERGE買うような奴は
無線LANルーターなんかに目もくれず
業務用のゴッツイアクセスポイント買うよ >>133
何か根本的に設計がおかしいっぽいから見直した方が良さそう。
ポリシールーティングの条件がdestって普通のルーティングで良さそうだし、
離れた場所で同セグメントがあるから何とかしたいって話なら
proxy arpを使った方がいい 俺も変だと思う。
設定事例集見てみたけど、ポリシールーティングで指定してるのって対向ルータの
IPアドレスであって、自分自身を指定するなんて初耳。
>>137のとおり、ルーターは自分が直接つながってるネットワークについては
自動的にパケットを転送するはずなんだから。
そのルーターだけじゃなくて、対向のネットワークも見なおした方がいい。 >>150
昔はCisco Aironetにあこがれた時期もあったけどAtermで十分と気づいた
無線LANはすぐに次世代の規格が出てきて落ちつかないからあまり追いかけたくないし >>133 が一体何をしたいのか全体像が知りたい。もう現れないのだろうか。 わざわざVLAN分けてんのにVLAN間ルーティングしたいってことは、子供のゲーム機用
にネットワーク分けたい訳ではなさそうだしな
しかし、およそ15時から翌0時までハマるってなかなかだな でも久々に盛り上がったからいいじゃん
みんなネタに飢えてたんだな >>150
openwrt使っている。
速度や安定性の面ではカスだけど、SSIDとVLANのマッピングできたり
syslog吐けたりcronで色々できたりと、機能面では業務用に匹敵するので。
満足はしていないけど、コスパは良いのでやむなし。 >>152
それは言えてる
昔買ってずーっと使ってる今のAMEが壊れたら、業務用アクセスポイント買うわ多分
ただ出力がでかすぎて頭痛くならないかちょっと心配だが ただ無線LANルーターよりアクセスポイントの方が高いんだよね
無線LANルーターをAPモードで使えばいいんだろうけど
なんとなく納得いかない
スレ違だけど俺は今度出るアライドのAP買おうかと思ってる。
5年保証付きで5万未満だったから。 自宅にDLNAサーバ(PCにTVersity)を置いて、実家のPS3で動画再生することってできる?
IXはそれぞれに1台ずつ置けるように持ってる。 EtherIPなら高確率で出来そうな感じかな。
IPsecで接続したIX2台でpim-smでもいけるかも? >>163
フレッツだとプロバイダによっては速度的にTS生は厳しいよ
auひかりとかでやれば良いけどアップロード制限もある
生は危険 おーい、生ってどういう意味?
穴掘るってVPNのトンネル?? >>169
穴掘る云々は茶化しただけだから気にしなくて良いよ >>171
すまぬ……
生は未圧縮データこと?
データ量でのプロバイダ規制って事かな??
気になって夜も寝れなくなってきた 未圧縮だからビットレートが高くてインターネット経由だと速度的に厳しいかもってことだろ >>164のリンク先とそのまたリンク先も読むと、RTTが7ミリセカンドの壁もあるみたいだしな
だからTVを直接DLNAサーバとかいうのにするんじゃなくて、PCサーバで一度録画したファイルを
PS3で再生しようってことなんだろ
TVとPCサーバの間はLAN内で済むから7msecもどうにかなるだろうし、使おうと考えてる
ソフトは対応形式も多いみたいだし
dlna+tversity+ps3のキーワードでググると一杯出てくるわ >>173
おおーそういうことか
レスありがとー
自宅回線ADSLの俺には遠い世界の話だわ 同一のネットワークアドレス(例 192.168.1.0/24)の2拠点をフレッツ光ネクスト経由でブリッジ転送するには以下のコンフィグでOK? ! site1 sample configuration
hostname Router1
username admin password plain secret administrator
ip route 192.168.1.0/24 Tunnel1.0
ip ufs-cache enable
ip access-list sec-list permit ip src any dest any
ike proposal ikeprop encryption aes-256 hash sha
ike policy ngnike-1 peer ngn-dynamic key secret mode aggressive ikeprop
ike local-id ngnike-1 keyid ngnid-router1
ike remote-id ngnike-1 keyid ngnid-router2
ike nat-traversal force
ipsec autokey-proposal secprop esp-aes-256 esp-sha
ipsec dynamic-map ngnsec-1 sec-list secprop ike-binding ngnike-1
ipsec local-id ngnsec-1 192.168.1.0/24
ipsec remote-id ngnsec-1 192.168.1.0/24
ngn profile ngnprof-1
bandwidth 1000
interface GigaEthernet0.0
ip address dhcp
service-policy enable
service-policy output default-policy-map-ngn
ngn ip enable no shutdown
interface GigaEthernet1.0
ip address 192.168.1.254/24 no shutdown
interface Tunnel1.0
tunnel mode ipsec
dialer string 22-0000-0000
idle-time 120
ngn binding GigaEthernet0.0 ngnprof-1 ike-policy ngnike-1
ipsec policy tunnel ngnsec-1 pre-fragment out
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss auto no shutdown >>176
ひかり電話を契約してデータコネクトで接続しようとしてる?
2拠点間を同一セグメントで接続するなら、データコネクトとether-ip(ipsec)を
組み合わせるような設定にしないとだめだと思うよ。 .
.
板違い(?)の上に、話をさえぎってしまいゴメンナサイ!(*_ _)人
でも、この板のユーザーさんにも有意義な告知かと思うのでカキコませてください。
★ 謝礼は十分いたします ★ アメブロなどのサイト制作ができる方!!
アメブロなどを使用してのサイト制作のできる方を早急に求めています!
私はリケジョやPC女子からはほど遠く、サイト作成にはまったく疎いのでとても不自由しています…(> <;)
そこで私に代わりサイトを作成してくださる方を求めてこの場をお借りしました。
■サイトの内容…
アダルト系、違法性、その他公序良俗に反するものではありませんのでご安心ください。
■サイト制作の仕様ベース…
アメーバブログで十分です。願わくばwordpressなどのブログ形式のサイトを希望します。
それに準ずるもので使い慣れたものがあれば別のものでも構いません。
■条件はありません…
技術さえお持ちでしたら、学歴・職歴等は一切問いません。
フリーター、ニート、高齢ニート、コミュニケーション障害をお持ちの方、引きこもりの方、中年失業者、長期無職等、歓迎!
■作業形態…
作業は在宅でやって頂くことになりますので、時間の指定は一切ありません。別のお仕事の傍らに…でもOKです。
■詳細をお知りになりたい方は…
下記メールアドレスまでご連絡ください。詳しく書いた返信文を差し上げます。
※真剣な告知です。冷やかしはご遠慮ください。
井 上
inoue1952w★gmail.com
迷惑メール対策のため@部分を★にしてあります。
実際に送信する際には★を@マークに変えてください。
.
. いまIX2105をマルチセッションで自宅鯖してるんですが、
PPPoEがけっこう重いらしく混雑時間には稼働率100%がザラに・・・
IX3110とIX2105ってオクで同じような値段なので、
性能を考えたらIX2105を2台にするよりIX3110のほうがお得・・・・
ファンが付いてる・デカい・動作温度が40度っていう点でIX2105のほうが人気なんでしょうか?
それともみんな新品買ってるの?! こういうルーターのファン付きはくっそうるさいし
こんなでかいの家庭で使いたいやつはいない
それでいて中古品を業務で使いたい業者はそんなにいないってところだろうか >>180
IXでPPPoEが足枷になるほど重くなることはあまり聞いたことがないんだけど
切り分けはちゃんとした?
>>181も言うとおりIX3110は大きくてFANがうるさいから設置場所を選ぶよ VPNについて教えてください。
VPNのクライアント側にIX2025を使用していますが、VPN接続する側のPCを必ず下記のように固定しないとできませんか?
ip napt static 192.168.0.100 tcp 1723
ip napt static 192.168.0.100 47
IX2025ではなくて他の家庭用ルーターなどをVPNのクライアント側に設置する場合は、その家庭用ルーターに接続しているPCやスマホなど複数端末から自由にVPN接続することができます。
IX2025でも同じようにVPN利用端末を固定しない方法はありませんか? >>181さん
>>182さん
相当なレベルでファンがうるさいんですね・・・大きさはなんとかなるとしても、、悩みます。
PPPoE2本繋いでるだけで稼働率半分もっていかれて、
混雑時間のWebやWebSocketのNAPTであと半分持っていかれる感じです。
教えてくださってどうもありがとうございました。 PPPoEが重いというか、サーバへのアクセス数とかNAPTセッションが多すぎってことね >>183
まず家庭用ルータなら複数端末から接続できてるのがよくわからないんだけど、
普通はどちらにしてもstatic napt(VPNパススルー)の設定が必要だから1台に限られるんじゃない?
[VPNクライアント(複数台)] --- [ルータ(NAPT)] ----- <internet> ------ [VPNサーバ]
この構成で複数台のVPNクライアントがVPNサーバに接続するには、
PPTPはあきらめてIPsec NATトラバーサルにするか、グローバルIPをLAN型払い出しで
契約するとかしかなさそうな気がする。
IPsecにするならルータからトンネルを確立した方が良さそうだけど。 カタログスペック上OKだからといって、調子に乗ってNATテーブル許可数65535なんてやってると痛い目を見たりする
Apacheだって初期状態だとMAXCLIENTは100くらいになってるはずなんだから、例えば4096もあれば十分だと思うんだが
なお4096の根拠は、かつてのYAMAHAのRTXシリーズがそうだったからという安直な理由から >>183
NATの部分のコンフィグだけ書かれてもIX2025の相手(VPNサーバ)が何なのか分からないし、
どんな方式(IPsec?PPTP?)でVPNを構成しているかも分からないから、
それぞれの機器の設定事例集見た方が早いよ。
スレ住人はエスパーじゃないし。 >>184
ixシリーズはYAMAHAの糞ルーターと違って、
NAPT増えても結構さくさく動くけど
非力なix2105でなんでもかんでもやってる状態で無理させない方が良いと思う。
別に上限は下げなくてもいいので
TCPなどのエージング時間をもっと任意に短め設定にすると
これだけでかなり良くなると思う。
ix3110を持ってないからわからないけど
この手のルーターのファンは、通常いる部屋や寝室で改造無しで使わない方がいい
パソコン一台より、甲高くてうるさいことが多い >>188
大体わかるし、>>186も分かってるようにみえる >>186
ご指摘のように業務用ルータで考えると、クライアント側ルータでIPsec NATトラバーサルするのが手っ取り早いのかもね。
でもクライアント側が海外にあるので、日本のIPだと閲覧しにくい現地のサイトがあって、
クライアント側のPCやスマホで見るサイトによってVPNのON/OFFを切り替えて利用したいと思っていました。
現在、クライアント側で使用中の家庭用ルータでは、複数端末から日本側VPNルータ(RTX1200)に
PPTPやL2TP/IPsecで同時接続できています。
業務用ルータではこんな変則的な利用方法は想定してないんだろうな >>191
それでも家庭用ルータなら同時接続できてる理由はよくわからないですねー
もしかしてUPnPで後から接続しようとした端末が優先されてるような状態なんじゃないですか? 家庭用としての使用を想定した運用をしています。
現在、WAN側のみInterLink固定割当で、NATにて使用中。
下記コンフィグのように書いているんだけど、フィルタの当て方間違ってねえか?とおもい悩んでます。
最初に全許可(全開放)してから不味いポートを閉じる運用が正解なのでは?と思ってます。
結局、NAPT設定してポートフォワードしないかぎり、LANには入れないとは思うのですが、このあたりのところすっきりしません。
・フィルタ適用は全開放→要所締めるでいいのか?
・結局、ポートフォワードしないかぎり、WAN側からLAN側へはアクセス出来ないのだから、フィルタ設定は大して意味ないのでは?全クライアントがグローバルIP付与なら話は違う気がする…。
という二点の疑問があります。過去スレで二点目に関しては、NAPTが簡易FWになるという発言も見られましたが、いまいちすっきりとしていません。
config自体、設定事例集やWEBのつぎはぎで、無駄も多いと感じます。先輩の皆様方のアドバイスお願いします。
以下、問題のコンフィグ(一部省略)
!
ip route default FastEthernet0/0.1 distance 100
ip route default FastEthernet0/1.1
ip dhcp enable
ip access-list admin_console permit ip src any dest 192.168.50.0/24
ip access-list all-block deny ip src any dest any
ip access-list all-forward permit ip src any dest any >>193の続き
ip access-list lan-allow permit ip src 192.168.50.0/24 dest any
ip access-list management permit ip src 192.168.50.0/24 dest any
ip access-list management2 permit ip src 192.168.2.0/24 dest any
ip access-list nbt-block deny tcp src any sport any dest any dport eq 135
ip access-list nbt-block deny tcp src any sport range 137 139 dest any dport any
ip access-list nbt-block deny tcp src any sport any dest any dport range 137 139
ip access-list nbt-block deny tcp src any sport any dest any dport eq 445
ip access-list nbt-block deny tcp src any sport eq 445 dest any dport any
ip access-list private-block deny ip src 192.168.0.0/16 dest any
ip access-list private-block deny ip src 172.16.0.0/12 dest any
ip access-list private-block deny ip src 10.0.0.0/8 dest any
ip access-list private-block deny ip src 0.0.0.0/8 dest any
ip access-list private-block deny ip src 127.0.0.0/8 dest any
ip access-list private-block deny ip src 169.254.0.0/16 dest any
ip access-list private-block deny ip src 192.0.2.0/24 dest any
ip access-list private-block deny ip src 224.0.0.0/4 dest any
ip access-list srv-pass permit tcp src any sport any dest any dport eq 80 >>194続き
ip access-list srv-pass permit tcp src any sport any dest any dport eq 443
ip access-list srv-pass permit tcp src any sport any dest any dport eq 3050
ip access-list srv-pass permit tcp src any sport any dest any dport eq 5901
ip access-list srv-pass permit tcp src any sport any dest any dport eq 5555
ip access-list srv-pass permit udp src any sport any dest any dport eq 500
ip access-list srv-pass permit udp src any sport any dest any dport eq 4500
ip access-list srv-pass permit udp src any sport any dest any dport eq 1701
ip access-list srv-pass permit udp src any sport any dest any dport eq 2022
ip access-list tcp-pass permit tcp src any sport any dest any dport any
ip access-list udp-pass permit udp src any sport any dest any dport any
ip access-list dynamic tointernet dns src any dest any
ip access-list dynamic tointernet ftp src any dest any
ip access-list dynamic tointernet http src any dest any
ip access-list dynamic tointernet sip src any dest any
ip access-list dynamic tointernet telnet src any dest any
ip access-list dynamic tointernet access tcp-pass
ip access-list dynamic tointernet access udp-pass
ip ufs-cache enable >>195続き
ip name-server 203.141.128.33
ip name-server 8.8.8.8
!
proxy-dns ip enable
!
telnet-server ip enable
telnet-server ip access-list lan-allow
!
http-server username admin
http-server ip access-list admin_console
http-server ip enable
ppp profile interlink
(略)
!
ip dhcp profile shanai-lan
assignable-range 192.168.50.30 192.168.50.60
default-gateway 192.168.50.1
dns-server 192.168.50.5 192.168.50.1
fixed-assignment (略)
!
!
次で最後です interface FastEthernet1/0.0
ip address 192.168.50.1/24
ip dhcp binding shanai-lan
no shutdown
!
(中略)
!
interface FastEthernet0/1.1
encapsulation pppoe
auto-connect
ppp binding interlink
ip address ipcp
ip napt enable
ip napt service
ip napt service (略)
ip filter nbt-block 10 in
ip filter private-block 20 in
ip filter srv-pass 130 in
ip filter ssh-pass 140 in
ip filter ftp-pass 150 in
ip filter gwmng-pass 60000 in
ip filter all-forward 65000 in
ip filter all-forward 65000 out
no shutdown
!
小出しにすると判断しにくいと思いほぼ全文投稿させて頂きました。
過疎スレとはいえ、貴重なスレ消費、失礼しました。 >>193
・フィルタの適用順序は「シーケンス番号→その中でアクセスリストの上から→どれにも該当しなければ次のシーケンス番号…」という流れなので、
>・フィルタ適用は全開放→要所締めるでいいのか?
この場合だとall permitが先に全部通してしまうのでだめです。
・一部開放→全部締める(実際は暗黙のdenyなので、設定はpermitだけ)
・一部締める→全部開ける
そのため、上記のどちらかのフィルタ適用順序が一般的です。
>・結局、ポートフォワードしないかぎり、WAN側からLAN側へはアクセス出来ないのだから、フィルタ設定は大して意味ないのでは?
NAPTがある時点で外側開始の通信は遮断されているので、フィルタ設定はそれほど意味はありません。
使うとすれば、ポートフォワードしている通信の中で、一部のソースアドレスをblockしたい場合などではないでしょうか。 なんか昔書いたYAMAHAのサンプルコンフィグをIX用に変換したものに似てる
その後変な自称知識人に絡まれたがw >>198
回答ありがとうございます。勉強になります。>>198の回答をまとめますと、
・開放したいポートを列挙→その後全部締める
→この方法だと開放したいポートを限定でき、家庭用ルータの設定ポリシーと似通ったものになる。暗黙のdenyを用いる方法であるので、permitだけ記載すればOKである。
・一部締め全て開ける→上記と逆のアプローチ
・現在設定している内容だと、ほぼ意味無しなので改善すべきだ。
ということでしょうか。ただ、結局NAPTがありますので、フィルタ設定にそれほどシビアになる必要はなさそうですね。海外IPブロック対策などでは有用そうですので、そちら方面での使用を検討してみます。
もう一点ご教示願います。LAN内部の一部ホスト(例:XP機などイントラのみで動作させたいもの)のパケットをWANに出したくない場合は、LAN側インターフェースでフィルタ制限を行えば良いのでしょうか?先ほどの設定例ですと、特定ホスト用フィルタ
ip access-list XP-block deny ip src 192.168.50.150 dest anyを定義し
interface FastEthernet1/0.0に対して
ip filter XP-block 10 outと設定してやる感じでしょうか?
DNSサーバー欄を空欄にするという対応でも対処は可能なのですが、イントラ内で稼働しているサーバにはアクセスしたく、それらの名前解決をdnsmasqで簡易的に行っているため、ゆくゆくはルータ側フィルタで制限をかけたいと感じてます。 ■ このスレッドは過去ログ倉庫に格納されています