NEC UNIVERGE IX2000/IX3000シリーズに関するスレです
【公式サイト】
UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC
http://www.nec.co.jp/ixseries/ix2k3k/
関連スレ
・宅鯖に最適なルータは? @ ウィキ
http://www39.atwiki.jp/takurouter/
・NEC系装置勉強会(MM-Node,IP45,ATOMIS etc)
http://engawa.2ch.net/test/read.cgi/network/1013516441/
・宅鯖に最適なルータは? 4セッション目 (dat落ち、次スレなし)
http://pc11.2ch.net/test/read.cgi/mysv/1199977508/
前スレ:NEC UNIVERGE IX2000/IX3000 運用構築スレ Part7
http://hayabusa6.2ch.net/test/read.cgi/network/1369194775/
探検
NEC UNIVERGE IX2000/IX3000 運用構築スレ Part8©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
2015/07/24(金) 15:36:48.24ID:???
168anonymouse
2016/02/02(火) 00:49:11.80ID:??? そうそう、やるなら穴掘らないとね・・(意味深
169あ
2016/02/02(火) 09:42:30.45ID:??? おーい、生ってどういう意味?
穴掘るってVPNのトンネル??
穴掘るってVPNのトンネル??
170anonymous@161.76.239.49.rev.vmobile.jp
2016/02/02(火) 11:47:42.42ID:??? >>169
TSの生データとトンネルの意味での生
TSの生データとトンネルの意味での生
173anony
2016/02/03(水) 18:48:54.18ID:??? 未圧縮だからビットレートが高くてインターネット経由だと速度的に厳しいかもってことだろ
174anonymous
2016/02/03(水) 19:34:36.28ID:??? >>164のリンク先とそのまたリンク先も読むと、RTTが7ミリセカンドの壁もあるみたいだしな
だからTVを直接DLNAサーバとかいうのにするんじゃなくて、PCサーバで一度録画したファイルを
PS3で再生しようってことなんだろ
TVとPCサーバの間はLAN内で済むから7msecもどうにかなるだろうし、使おうと考えてる
ソフトは対応形式も多いみたいだし
dlna+tversity+ps3のキーワードでググると一杯出てくるわ
だからTVを直接DLNAサーバとかいうのにするんじゃなくて、PCサーバで一度録画したファイルを
PS3で再生しようってことなんだろ
TVとPCサーバの間はLAN内で済むから7msecもどうにかなるだろうし、使おうと考えてる
ソフトは対応形式も多いみたいだし
dlna+tversity+ps3のキーワードでググると一杯出てくるわ
176ポパたん
2016/02/12(金) 14:51:40.56ID:2RGkMD5d 同一のネットワークアドレス(例 192.168.1.0/24)の2拠点をフレッツ光ネクスト経由でブリッジ転送するには以下のコンフィグでOK? ! site1 sample configuration
hostname Router1
username admin password plain secret administrator
ip route 192.168.1.0/24 Tunnel1.0
ip ufs-cache enable
ip access-list sec-list permit ip src any dest any
ike proposal ikeprop encryption aes-256 hash sha
ike policy ngnike-1 peer ngn-dynamic key secret mode aggressive ikeprop
ike local-id ngnike-1 keyid ngnid-router1
ike remote-id ngnike-1 keyid ngnid-router2
ike nat-traversal force
ipsec autokey-proposal secprop esp-aes-256 esp-sha
ipsec dynamic-map ngnsec-1 sec-list secprop ike-binding ngnike-1
ipsec local-id ngnsec-1 192.168.1.0/24
ipsec remote-id ngnsec-1 192.168.1.0/24
ngn profile ngnprof-1
bandwidth 1000
interface GigaEthernet0.0
ip address dhcp
service-policy enable
service-policy output default-policy-map-ngn
ngn ip enable no shutdown
interface GigaEthernet1.0
ip address 192.168.1.254/24 no shutdown
interface Tunnel1.0
tunnel mode ipsec
dialer string 22-0000-0000
idle-time 120
ngn binding GigaEthernet0.0 ngnprof-1 ike-policy ngnike-1
ipsec policy tunnel ngnsec-1 pre-fragment out
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss auto no shutdown
hostname Router1
username admin password plain secret administrator
ip route 192.168.1.0/24 Tunnel1.0
ip ufs-cache enable
ip access-list sec-list permit ip src any dest any
ike proposal ikeprop encryption aes-256 hash sha
ike policy ngnike-1 peer ngn-dynamic key secret mode aggressive ikeprop
ike local-id ngnike-1 keyid ngnid-router1
ike remote-id ngnike-1 keyid ngnid-router2
ike nat-traversal force
ipsec autokey-proposal secprop esp-aes-256 esp-sha
ipsec dynamic-map ngnsec-1 sec-list secprop ike-binding ngnike-1
ipsec local-id ngnsec-1 192.168.1.0/24
ipsec remote-id ngnsec-1 192.168.1.0/24
ngn profile ngnprof-1
bandwidth 1000
interface GigaEthernet0.0
ip address dhcp
service-policy enable
service-policy output default-policy-map-ngn
ngn ip enable no shutdown
interface GigaEthernet1.0
ip address 192.168.1.254/24 no shutdown
interface Tunnel1.0
tunnel mode ipsec
dialer string 22-0000-0000
idle-time 120
ngn binding GigaEthernet0.0 ngnprof-1 ike-policy ngnike-1
ipsec policy tunnel ngnsec-1 pre-fragment out
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss auto no shutdown
177anon
2016/02/12(金) 20:03:55.03ID:??? >>176
ひかり電話を契約してデータコネクトで接続しようとしてる?
2拠点間を同一セグメントで接続するなら、データコネクトとether-ip(ipsec)を
組み合わせるような設定にしないとだめだと思うよ。
ひかり電話を契約してデータコネクトで接続しようとしてる?
2拠点間を同一セグメントで接続するなら、データコネクトとether-ip(ipsec)を
組み合わせるような設定にしないとだめだと思うよ。
178qq
2016/02/24(水) 18:04:04.59ID:??? .
.
板違い(?)の上に、話をさえぎってしまいゴメンナサイ!(*_ _)人
でも、この板のユーザーさんにも有意義な告知かと思うのでカキコませてください。
★ 謝礼は十分いたします ★ アメブロなどのサイト制作ができる方!!
アメブロなどを使用してのサイト制作のできる方を早急に求めています!
私はリケジョやPC女子からはほど遠く、サイト作成にはまったく疎いのでとても不自由しています…(> <;)
そこで私に代わりサイトを作成してくださる方を求めてこの場をお借りしました。
■サイトの内容…
アダルト系、違法性、その他公序良俗に反するものではありませんのでご安心ください。
■サイト制作の仕様ベース…
アメーバブログで十分です。願わくばwordpressなどのブログ形式のサイトを希望します。
それに準ずるもので使い慣れたものがあれば別のものでも構いません。
■条件はありません…
技術さえお持ちでしたら、学歴・職歴等は一切問いません。
フリーター、ニート、高齢ニート、コミュニケーション障害をお持ちの方、引きこもりの方、中年失業者、長期無職等、歓迎!
■作業形態…
作業は在宅でやって頂くことになりますので、時間の指定は一切ありません。別のお仕事の傍らに…でもOKです。
■詳細をお知りになりたい方は…
下記メールアドレスまでご連絡ください。詳しく書いた返信文を差し上げます。
※真剣な告知です。冷やかしはご遠慮ください。
井 上
inoue1952w★gmail.com
迷惑メール対策のため@部分を★にしてあります。
実際に送信する際には★を@マークに変えてください。
.
.
.
板違い(?)の上に、話をさえぎってしまいゴメンナサイ!(*_ _)人
でも、この板のユーザーさんにも有意義な告知かと思うのでカキコませてください。
★ 謝礼は十分いたします ★ アメブロなどのサイト制作ができる方!!
アメブロなどを使用してのサイト制作のできる方を早急に求めています!
私はリケジョやPC女子からはほど遠く、サイト作成にはまったく疎いのでとても不自由しています…(> <;)
そこで私に代わりサイトを作成してくださる方を求めてこの場をお借りしました。
■サイトの内容…
アダルト系、違法性、その他公序良俗に反するものではありませんのでご安心ください。
■サイト制作の仕様ベース…
アメーバブログで十分です。願わくばwordpressなどのブログ形式のサイトを希望します。
それに準ずるもので使い慣れたものがあれば別のものでも構いません。
■条件はありません…
技術さえお持ちでしたら、学歴・職歴等は一切問いません。
フリーター、ニート、高齢ニート、コミュニケーション障害をお持ちの方、引きこもりの方、中年失業者、長期無職等、歓迎!
■作業形態…
作業は在宅でやって頂くことになりますので、時間の指定は一切ありません。別のお仕事の傍らに…でもOKです。
■詳細をお知りになりたい方は…
下記メールアドレスまでご連絡ください。詳しく書いた返信文を差し上げます。
※真剣な告知です。冷やかしはご遠慮ください。
井 上
inoue1952w★gmail.com
迷惑メール対策のため@部分を★にしてあります。
実際に送信する際には★を@マークに変えてください。
.
.
179anonymous@101-143-63-238f1.hyg2.eonet.ne.jp
2016/03/03(木) 13:32:53.61ID:+9n1YyAs age
180anonymous
2016/03/08(火) 05:16:04.76ID:??? いまIX2105をマルチセッションで自宅鯖してるんですが、
PPPoEがけっこう重いらしく混雑時間には稼働率100%がザラに・・・
IX3110とIX2105ってオクで同じような値段なので、
性能を考えたらIX2105を2台にするよりIX3110のほうがお得・・・・
ファンが付いてる・デカい・動作温度が40度っていう点でIX2105のほうが人気なんでしょうか?
それともみんな新品買ってるの?!
PPPoEがけっこう重いらしく混雑時間には稼働率100%がザラに・・・
IX3110とIX2105ってオクで同じような値段なので、
性能を考えたらIX2105を2台にするよりIX3110のほうがお得・・・・
ファンが付いてる・デカい・動作温度が40度っていう点でIX2105のほうが人気なんでしょうか?
それともみんな新品買ってるの?!
181anony
2016/03/08(火) 05:23:11.80ID:??? こういうルーターのファン付きはくっそうるさいし
こんなでかいの家庭で使いたいやつはいない
それでいて中古品を業務で使いたい業者はそんなにいないってところだろうか
こんなでかいの家庭で使いたいやつはいない
それでいて中古品を業務で使いたい業者はそんなにいないってところだろうか
182anonymous
2016/03/08(火) 09:13:49.86ID:???183anonymous
2016/03/08(火) 18:45:24.12ID:Cp5xPEvs VPNについて教えてください。
VPNのクライアント側にIX2025を使用していますが、VPN接続する側のPCを必ず下記のように固定しないとできませんか?
ip napt static 192.168.0.100 tcp 1723
ip napt static 192.168.0.100 47
IX2025ではなくて他の家庭用ルーターなどをVPNのクライアント側に設置する場合は、その家庭用ルーターに接続しているPCやスマホなど複数端末から自由にVPN接続することができます。
IX2025でも同じようにVPN利用端末を固定しない方法はありませんか?
VPNのクライアント側にIX2025を使用していますが、VPN接続する側のPCを必ず下記のように固定しないとできませんか?
ip napt static 192.168.0.100 tcp 1723
ip napt static 192.168.0.100 47
IX2025ではなくて他の家庭用ルーターなどをVPNのクライアント側に設置する場合は、その家庭用ルーターに接続しているPCやスマホなど複数端末から自由にVPN接続することができます。
IX2025でも同じようにVPN利用端末を固定しない方法はありませんか?
184anonymous
2016/03/08(火) 20:46:34.29ID:???185anon
2016/03/08(火) 21:35:09.59ID:??? PPPoEが重いというか、サーバへのアクセス数とかNAPTセッションが多すぎってことね
186anon
2016/03/08(火) 21:49:05.45ID:??? >>183
まず家庭用ルータなら複数端末から接続できてるのがよくわからないんだけど、
普通はどちらにしてもstatic napt(VPNパススルー)の設定が必要だから1台に限られるんじゃない?
[VPNクライアント(複数台)] --- [ルータ(NAPT)] ----- <internet> ------ [VPNサーバ]
この構成で複数台のVPNクライアントがVPNサーバに接続するには、
PPTPはあきらめてIPsec NATトラバーサルにするか、グローバルIPをLAN型払い出しで
契約するとかしかなさそうな気がする。
IPsecにするならルータからトンネルを確立した方が良さそうだけど。
まず家庭用ルータなら複数端末から接続できてるのがよくわからないんだけど、
普通はどちらにしてもstatic napt(VPNパススルー)の設定が必要だから1台に限られるんじゃない?
[VPNクライアント(複数台)] --- [ルータ(NAPT)] ----- <internet> ------ [VPNサーバ]
この構成で複数台のVPNクライアントがVPNサーバに接続するには、
PPTPはあきらめてIPsec NATトラバーサルにするか、グローバルIPをLAN型払い出しで
契約するとかしかなさそうな気がする。
IPsecにするならルータからトンネルを確立した方が良さそうだけど。
187anonymous
2016/03/09(水) 00:35:40.64ID:??? カタログスペック上OKだからといって、調子に乗ってNATテーブル許可数65535なんてやってると痛い目を見たりする
Apacheだって初期状態だとMAXCLIENTは100くらいになってるはずなんだから、例えば4096もあれば十分だと思うんだが
なお4096の根拠は、かつてのYAMAHAのRTXシリーズがそうだったからという安直な理由から
Apacheだって初期状態だとMAXCLIENTは100くらいになってるはずなんだから、例えば4096もあれば十分だと思うんだが
なお4096の根拠は、かつてのYAMAHAのRTXシリーズがそうだったからという安直な理由から
188anon
2016/03/09(水) 00:46:26.51ID:??? >>183
NATの部分のコンフィグだけ書かれてもIX2025の相手(VPNサーバ)が何なのか分からないし、
どんな方式(IPsec?PPTP?)でVPNを構成しているかも分からないから、
それぞれの機器の設定事例集見た方が早いよ。
スレ住人はエスパーじゃないし。
NATの部分のコンフィグだけ書かれてもIX2025の相手(VPNサーバ)が何なのか分からないし、
どんな方式(IPsec?PPTP?)でVPNを構成しているかも分からないから、
それぞれの機器の設定事例集見た方が早いよ。
スレ住人はエスパーじゃないし。
189anony
2016/03/09(水) 02:18:21.04ID:??? >>184
ixシリーズはYAMAHAの糞ルーターと違って、
NAPT増えても結構さくさく動くけど
非力なix2105でなんでもかんでもやってる状態で無理させない方が良いと思う。
別に上限は下げなくてもいいので
TCPなどのエージング時間をもっと任意に短め設定にすると
これだけでかなり良くなると思う。
ix3110を持ってないからわからないけど
この手のルーターのファンは、通常いる部屋や寝室で改造無しで使わない方がいい
パソコン一台より、甲高くてうるさいことが多い
ixシリーズはYAMAHAの糞ルーターと違って、
NAPT増えても結構さくさく動くけど
非力なix2105でなんでもかんでもやってる状態で無理させない方が良いと思う。
別に上限は下げなくてもいいので
TCPなどのエージング時間をもっと任意に短め設定にすると
これだけでかなり良くなると思う。
ix3110を持ってないからわからないけど
この手のルーターのファンは、通常いる部屋や寝室で改造無しで使わない方がいい
パソコン一台より、甲高くてうるさいことが多い
191183
2016/03/10(木) 17:43:10.47ID:dEa7hf1P >>186
ご指摘のように業務用ルータで考えると、クライアント側ルータでIPsec NATトラバーサルするのが手っ取り早いのかもね。
でもクライアント側が海外にあるので、日本のIPだと閲覧しにくい現地のサイトがあって、
クライアント側のPCやスマホで見るサイトによってVPNのON/OFFを切り替えて利用したいと思っていました。
現在、クライアント側で使用中の家庭用ルータでは、複数端末から日本側VPNルータ(RTX1200)に
PPTPやL2TP/IPsecで同時接続できています。
業務用ルータではこんな変則的な利用方法は想定してないんだろうな
ご指摘のように業務用ルータで考えると、クライアント側ルータでIPsec NATトラバーサルするのが手っ取り早いのかもね。
でもクライアント側が海外にあるので、日本のIPだと閲覧しにくい現地のサイトがあって、
クライアント側のPCやスマホで見るサイトによってVPNのON/OFFを切り替えて利用したいと思っていました。
現在、クライアント側で使用中の家庭用ルータでは、複数端末から日本側VPNルータ(RTX1200)に
PPTPやL2TP/IPsecで同時接続できています。
業務用ルータではこんな変則的な利用方法は想定してないんだろうな
192186
2016/03/10(木) 21:31:08.16ID:???193anonymous@117.102.196.196.static.zoot.jp
2016/03/11(金) 19:21:53.15ID:??? 家庭用としての使用を想定した運用をしています。
現在、WAN側のみInterLink固定割当で、NATにて使用中。
下記コンフィグのように書いているんだけど、フィルタの当て方間違ってねえか?とおもい悩んでます。
最初に全許可(全開放)してから不味いポートを閉じる運用が正解なのでは?と思ってます。
結局、NAPT設定してポートフォワードしないかぎり、LANには入れないとは思うのですが、このあたりのところすっきりしません。
・フィルタ適用は全開放→要所締めるでいいのか?
・結局、ポートフォワードしないかぎり、WAN側からLAN側へはアクセス出来ないのだから、フィルタ設定は大して意味ないのでは?全クライアントがグローバルIP付与なら話は違う気がする…。
という二点の疑問があります。過去スレで二点目に関しては、NAPTが簡易FWになるという発言も見られましたが、いまいちすっきりとしていません。
config自体、設定事例集やWEBのつぎはぎで、無駄も多いと感じます。先輩の皆様方のアドバイスお願いします。
以下、問題のコンフィグ(一部省略)
!
ip route default FastEthernet0/0.1 distance 100
ip route default FastEthernet0/1.1
ip dhcp enable
ip access-list admin_console permit ip src any dest 192.168.50.0/24
ip access-list all-block deny ip src any dest any
ip access-list all-forward permit ip src any dest any
現在、WAN側のみInterLink固定割当で、NATにて使用中。
下記コンフィグのように書いているんだけど、フィルタの当て方間違ってねえか?とおもい悩んでます。
最初に全許可(全開放)してから不味いポートを閉じる運用が正解なのでは?と思ってます。
結局、NAPT設定してポートフォワードしないかぎり、LANには入れないとは思うのですが、このあたりのところすっきりしません。
・フィルタ適用は全開放→要所締めるでいいのか?
・結局、ポートフォワードしないかぎり、WAN側からLAN側へはアクセス出来ないのだから、フィルタ設定は大して意味ないのでは?全クライアントがグローバルIP付与なら話は違う気がする…。
という二点の疑問があります。過去スレで二点目に関しては、NAPTが簡易FWになるという発言も見られましたが、いまいちすっきりとしていません。
config自体、設定事例集やWEBのつぎはぎで、無駄も多いと感じます。先輩の皆様方のアドバイスお願いします。
以下、問題のコンフィグ(一部省略)
!
ip route default FastEthernet0/0.1 distance 100
ip route default FastEthernet0/1.1
ip dhcp enable
ip access-list admin_console permit ip src any dest 192.168.50.0/24
ip access-list all-block deny ip src any dest any
ip access-list all-forward permit ip src any dest any
194anonymous@117.102.196.196.static.zoot.jp
2016/03/11(金) 19:22:41.29ID:??? >>193の続き
ip access-list lan-allow permit ip src 192.168.50.0/24 dest any
ip access-list management permit ip src 192.168.50.0/24 dest any
ip access-list management2 permit ip src 192.168.2.0/24 dest any
ip access-list nbt-block deny tcp src any sport any dest any dport eq 135
ip access-list nbt-block deny tcp src any sport range 137 139 dest any dport any
ip access-list nbt-block deny tcp src any sport any dest any dport range 137 139
ip access-list nbt-block deny tcp src any sport any dest any dport eq 445
ip access-list nbt-block deny tcp src any sport eq 445 dest any dport any
ip access-list private-block deny ip src 192.168.0.0/16 dest any
ip access-list private-block deny ip src 172.16.0.0/12 dest any
ip access-list private-block deny ip src 10.0.0.0/8 dest any
ip access-list private-block deny ip src 0.0.0.0/8 dest any
ip access-list private-block deny ip src 127.0.0.0/8 dest any
ip access-list private-block deny ip src 169.254.0.0/16 dest any
ip access-list private-block deny ip src 192.0.2.0/24 dest any
ip access-list private-block deny ip src 224.0.0.0/4 dest any
ip access-list srv-pass permit tcp src any sport any dest any dport eq 80
ip access-list lan-allow permit ip src 192.168.50.0/24 dest any
ip access-list management permit ip src 192.168.50.0/24 dest any
ip access-list management2 permit ip src 192.168.2.0/24 dest any
ip access-list nbt-block deny tcp src any sport any dest any dport eq 135
ip access-list nbt-block deny tcp src any sport range 137 139 dest any dport any
ip access-list nbt-block deny tcp src any sport any dest any dport range 137 139
ip access-list nbt-block deny tcp src any sport any dest any dport eq 445
ip access-list nbt-block deny tcp src any sport eq 445 dest any dport any
ip access-list private-block deny ip src 192.168.0.0/16 dest any
ip access-list private-block deny ip src 172.16.0.0/12 dest any
ip access-list private-block deny ip src 10.0.0.0/8 dest any
ip access-list private-block deny ip src 0.0.0.0/8 dest any
ip access-list private-block deny ip src 127.0.0.0/8 dest any
ip access-list private-block deny ip src 169.254.0.0/16 dest any
ip access-list private-block deny ip src 192.0.2.0/24 dest any
ip access-list private-block deny ip src 224.0.0.0/4 dest any
ip access-list srv-pass permit tcp src any sport any dest any dport eq 80
195anonymous@117.102.196.196.static.zoot.jp
2016/03/11(金) 19:23:19.21ID:??? >>194続き
ip access-list srv-pass permit tcp src any sport any dest any dport eq 443
ip access-list srv-pass permit tcp src any sport any dest any dport eq 3050
ip access-list srv-pass permit tcp src any sport any dest any dport eq 5901
ip access-list srv-pass permit tcp src any sport any dest any dport eq 5555
ip access-list srv-pass permit udp src any sport any dest any dport eq 500
ip access-list srv-pass permit udp src any sport any dest any dport eq 4500
ip access-list srv-pass permit udp src any sport any dest any dport eq 1701
ip access-list srv-pass permit udp src any sport any dest any dport eq 2022
ip access-list tcp-pass permit tcp src any sport any dest any dport any
ip access-list udp-pass permit udp src any sport any dest any dport any
ip access-list dynamic tointernet dns src any dest any
ip access-list dynamic tointernet ftp src any dest any
ip access-list dynamic tointernet http src any dest any
ip access-list dynamic tointernet sip src any dest any
ip access-list dynamic tointernet telnet src any dest any
ip access-list dynamic tointernet access tcp-pass
ip access-list dynamic tointernet access udp-pass
ip ufs-cache enable
ip access-list srv-pass permit tcp src any sport any dest any dport eq 443
ip access-list srv-pass permit tcp src any sport any dest any dport eq 3050
ip access-list srv-pass permit tcp src any sport any dest any dport eq 5901
ip access-list srv-pass permit tcp src any sport any dest any dport eq 5555
ip access-list srv-pass permit udp src any sport any dest any dport eq 500
ip access-list srv-pass permit udp src any sport any dest any dport eq 4500
ip access-list srv-pass permit udp src any sport any dest any dport eq 1701
ip access-list srv-pass permit udp src any sport any dest any dport eq 2022
ip access-list tcp-pass permit tcp src any sport any dest any dport any
ip access-list udp-pass permit udp src any sport any dest any dport any
ip access-list dynamic tointernet dns src any dest any
ip access-list dynamic tointernet ftp src any dest any
ip access-list dynamic tointernet http src any dest any
ip access-list dynamic tointernet sip src any dest any
ip access-list dynamic tointernet telnet src any dest any
ip access-list dynamic tointernet access tcp-pass
ip access-list dynamic tointernet access udp-pass
ip ufs-cache enable
196anonymous@117.102.196.196.static.zoot.jp
2016/03/11(金) 19:24:38.39ID:??? >>195続き
ip name-server 203.141.128.33
ip name-server 8.8.8.8
!
proxy-dns ip enable
!
telnet-server ip enable
telnet-server ip access-list lan-allow
!
http-server username admin
http-server ip access-list admin_console
http-server ip enable
ppp profile interlink
(略)
!
ip dhcp profile shanai-lan
assignable-range 192.168.50.30 192.168.50.60
default-gateway 192.168.50.1
dns-server 192.168.50.5 192.168.50.1
fixed-assignment (略)
!
!
次で最後です
ip name-server 203.141.128.33
ip name-server 8.8.8.8
!
proxy-dns ip enable
!
telnet-server ip enable
telnet-server ip access-list lan-allow
!
http-server username admin
http-server ip access-list admin_console
http-server ip enable
ppp profile interlink
(略)
!
ip dhcp profile shanai-lan
assignable-range 192.168.50.30 192.168.50.60
default-gateway 192.168.50.1
dns-server 192.168.50.5 192.168.50.1
fixed-assignment (略)
!
!
次で最後です
197anonymous@117.102.196.196.static.zoot.jp
2016/03/11(金) 19:25:42.81ID:??? interface FastEthernet1/0.0
ip address 192.168.50.1/24
ip dhcp binding shanai-lan
no shutdown
!
(中略)
!
interface FastEthernet0/1.1
encapsulation pppoe
auto-connect
ppp binding interlink
ip address ipcp
ip napt enable
ip napt service
ip napt service (略)
ip filter nbt-block 10 in
ip filter private-block 20 in
ip filter srv-pass 130 in
ip filter ssh-pass 140 in
ip filter ftp-pass 150 in
ip filter gwmng-pass 60000 in
ip filter all-forward 65000 in
ip filter all-forward 65000 out
no shutdown
!
小出しにすると判断しにくいと思いほぼ全文投稿させて頂きました。
過疎スレとはいえ、貴重なスレ消費、失礼しました。
ip address 192.168.50.1/24
ip dhcp binding shanai-lan
no shutdown
!
(中略)
!
interface FastEthernet0/1.1
encapsulation pppoe
auto-connect
ppp binding interlink
ip address ipcp
ip napt enable
ip napt service
ip napt service (略)
ip filter nbt-block 10 in
ip filter private-block 20 in
ip filter srv-pass 130 in
ip filter ssh-pass 140 in
ip filter ftp-pass 150 in
ip filter gwmng-pass 60000 in
ip filter all-forward 65000 in
ip filter all-forward 65000 out
no shutdown
!
小出しにすると判断しにくいと思いほぼ全文投稿させて頂きました。
過疎スレとはいえ、貴重なスレ消費、失礼しました。
198anon
2016/03/11(金) 20:45:13.01ID:??? >>193
・フィルタの適用順序は「シーケンス番号→その中でアクセスリストの上から→どれにも該当しなければ次のシーケンス番号…」という流れなので、
>・フィルタ適用は全開放→要所締めるでいいのか?
この場合だとall permitが先に全部通してしまうのでだめです。
・一部開放→全部締める(実際は暗黙のdenyなので、設定はpermitだけ)
・一部締める→全部開ける
そのため、上記のどちらかのフィルタ適用順序が一般的です。
>・結局、ポートフォワードしないかぎり、WAN側からLAN側へはアクセス出来ないのだから、フィルタ設定は大して意味ないのでは?
NAPTがある時点で外側開始の通信は遮断されているので、フィルタ設定はそれほど意味はありません。
使うとすれば、ポートフォワードしている通信の中で、一部のソースアドレスをblockしたい場合などではないでしょうか。
・フィルタの適用順序は「シーケンス番号→その中でアクセスリストの上から→どれにも該当しなければ次のシーケンス番号…」という流れなので、
>・フィルタ適用は全開放→要所締めるでいいのか?
この場合だとall permitが先に全部通してしまうのでだめです。
・一部開放→全部締める(実際は暗黙のdenyなので、設定はpermitだけ)
・一部締める→全部開ける
そのため、上記のどちらかのフィルタ適用順序が一般的です。
>・結局、ポートフォワードしないかぎり、WAN側からLAN側へはアクセス出来ないのだから、フィルタ設定は大して意味ないのでは?
NAPTがある時点で外側開始の通信は遮断されているので、フィルタ設定はそれほど意味はありません。
使うとすれば、ポートフォワードしている通信の中で、一部のソースアドレスをblockしたい場合などではないでしょうか。
199anonymous
2016/03/12(土) 00:06:52.55ID:??? なんか昔書いたYAMAHAのサンプルコンフィグをIX用に変換したものに似てる
その後変な自称知識人に絡まれたがw
その後変な自称知識人に絡まれたがw
2016/03/12(土) 00:08:14.86ID:???
>>198
回答ありがとうございます。勉強になります。>>198の回答をまとめますと、
・開放したいポートを列挙→その後全部締める
→この方法だと開放したいポートを限定でき、家庭用ルータの設定ポリシーと似通ったものになる。暗黙のdenyを用いる方法であるので、permitだけ記載すればOKである。
・一部締め全て開ける→上記と逆のアプローチ
・現在設定している内容だと、ほぼ意味無しなので改善すべきだ。
ということでしょうか。ただ、結局NAPTがありますので、フィルタ設定にそれほどシビアになる必要はなさそうですね。海外IPブロック対策などでは有用そうですので、そちら方面での使用を検討してみます。
もう一点ご教示願います。LAN内部の一部ホスト(例:XP機などイントラのみで動作させたいもの)のパケットをWANに出したくない場合は、LAN側インターフェースでフィルタ制限を行えば良いのでしょうか?先ほどの設定例ですと、特定ホスト用フィルタ
ip access-list XP-block deny ip src 192.168.50.150 dest anyを定義し
interface FastEthernet1/0.0に対して
ip filter XP-block 10 outと設定してやる感じでしょうか?
DNSサーバー欄を空欄にするという対応でも対処は可能なのですが、イントラ内で稼働しているサーバにはアクセスしたく、それらの名前解決をdnsmasqで簡易的に行っているため、ゆくゆくはルータ側フィルタで制限をかけたいと感じてます。
回答ありがとうございます。勉強になります。>>198の回答をまとめますと、
・開放したいポートを列挙→その後全部締める
→この方法だと開放したいポートを限定でき、家庭用ルータの設定ポリシーと似通ったものになる。暗黙のdenyを用いる方法であるので、permitだけ記載すればOKである。
・一部締め全て開ける→上記と逆のアプローチ
・現在設定している内容だと、ほぼ意味無しなので改善すべきだ。
ということでしょうか。ただ、結局NAPTがありますので、フィルタ設定にそれほどシビアになる必要はなさそうですね。海外IPブロック対策などでは有用そうですので、そちら方面での使用を検討してみます。
もう一点ご教示願います。LAN内部の一部ホスト(例:XP機などイントラのみで動作させたいもの)のパケットをWANに出したくない場合は、LAN側インターフェースでフィルタ制限を行えば良いのでしょうか?先ほどの設定例ですと、特定ホスト用フィルタ
ip access-list XP-block deny ip src 192.168.50.150 dest anyを定義し
interface FastEthernet1/0.0に対して
ip filter XP-block 10 outと設定してやる感じでしょうか?
DNSサーバー欄を空欄にするという対応でも対処は可能なのですが、イントラ内で稼働しているサーバにはアクセスしたく、それらの名前解決をdnsmasqで簡易的に行っているため、ゆくゆくはルータ側フィルタで制限をかけたいと感じてます。
201anon
2016/03/12(土) 00:20:47.98ID:??? >>200
>ip access-list XP-block deny ip src 192.168.50.150 dest anyを定義し
>interface FastEthernet1/0.0に対して
>ip filter XP-block 10 outと設定してやる感じでしょうか?
LAN側IFでフィルタを掛けるなら、この場合は"ip filter XP-block 10 in"ですね。
あとこれだけだと暗黙のdenyで全部破棄されるので、"permit ip src any dest any"をXP-blockより後ろに設定しないといけません。
>イントラ内で稼働しているサーバにはアクセスしたく、
同一セグメントなのでフィルタリングせずにSW-HUBで折り返すので、LAN-IFでフィルタ設定をしていても
通信できると思いますが、VLANを分ける場合はWAN-IFのout方向でフィルタを掛ける方法に変えた方がいいです。
>ip access-list XP-block deny ip src 192.168.50.150 dest anyを定義し
>interface FastEthernet1/0.0に対して
>ip filter XP-block 10 outと設定してやる感じでしょうか?
LAN側IFでフィルタを掛けるなら、この場合は"ip filter XP-block 10 in"ですね。
あとこれだけだと暗黙のdenyで全部破棄されるので、"permit ip src any dest any"をXP-blockより後ろに設定しないといけません。
>イントラ内で稼働しているサーバにはアクセスしたく、
同一セグメントなのでフィルタリングせずにSW-HUBで折り返すので、LAN-IFでフィルタ設定をしていても
通信できると思いますが、VLANを分ける場合はWAN-IFのout方向でフィルタを掛ける方法に変えた方がいいです。
202anon
2016/03/12(土) 00:31:02.60ID:??? >VLANを分ける場合はWAN-IFのout方向でフィルタを掛ける方法に変えた方がいいです。
またはsrc,destを両方指定してLAN-IFのin方向でフィルタでもいいです。
またはsrc,destを両方指定してLAN-IFのin方向でフィルタでもいいです。
2016/03/12(土) 00:38:10.65ID:???
>>202
ありがとうございます。勉強になります。
今のところVLAN切る予定はないのですが、後々の予定としてそういった体制も検討しているところでした。参考にしてみます。
LAN側IFでフィルタを掛けるなら、この場合は"ip filter XP-block 10 in"ですね。
あとこれだけだと暗黙のdenyで全部破棄されるので、"permit ip src any dest any"をXP-blockより後ろに設定しないといけません。
私の場合、中→外への通信をブロックしようとしたためoutにしておりました。正解は外→中でin指定ですね。
確かにWANからの通信がブロックされれば外には出られないわけですので、これで良さそうです。
はじめはlAN側IFでやってしまおうかと考えていたのですが、結局WAN側IFで一括してやったほうが、設定もまとまり楽かなと感じました。
ありがとうございました。
ありがとうございます。勉強になります。
今のところVLAN切る予定はないのですが、後々の予定としてそういった体制も検討しているところでした。参考にしてみます。
LAN側IFでフィルタを掛けるなら、この場合は"ip filter XP-block 10 in"ですね。
あとこれだけだと暗黙のdenyで全部破棄されるので、"permit ip src any dest any"をXP-blockより後ろに設定しないといけません。
私の場合、中→外への通信をブロックしようとしたためoutにしておりました。正解は外→中でin指定ですね。
確かにWANからの通信がブロックされれば外には出られないわけですので、これで良さそうです。
はじめはlAN側IFでやってしまおうかと考えていたのですが、結局WAN側IFで一括してやったほうが、設定もまとまり楽かなと感じました。
ありがとうございました。
204anonymous
2016/03/12(土) 01:59:27.41ID:??? 家庭用使用なのに、DHCPプロファイルが社内LANってのにワロタw
206anony
2016/03/12(土) 02:11:37.95ID:??? いないな
おやすみ・・・・・・
おやすみ・・・・・・
2016/03/12(土) 02:27:16.72ID:???
208anony
2016/03/12(土) 02:37:30.23ID:??? 見てるなら貼るわ。
家庭での使用を想定しているとのことなので、
http://jp.yamaha.com/products/network/solution/internet/opticalfiber_command/
と同じレベルの運用ということで良ければ。
※プライベートセグメントは 192.168.50.0/24
ルータのLAN側アドレスは 192.168.50.1/24
LANインターフェースはFastEthernet1/0
WANインターフェースはFastEthernet0/1
をそれぞれ使用している想定で。
※動的フィルター(ステートフルパケットインスペクション)使ってます。
※IPv4アドレスのみ想定してます。
※お漏らし対策をするだけで、LAN内は自由に行き来できるようにするために、フィルター適用は全部WANインターフェースです。
# 特定マシンをインターネットにアクセスさせたくないけど、LAN内は行き来したい
# dhcpコンフィグレーションモードに移行
ip dhcp profile [プロファイル名]
# MACアドレスを登録し、特定のマシンには特定のアドレスが割り振られるようにする。
fixed-assignment 192.168.50.254 XX:XX:XX:XX:XX:XX
# MACアドレスは:(コロン)区切り。詳細はコマンドリファレンスを。
でもこれはやってあるみたいだね。
家庭での使用を想定しているとのことなので、
http://jp.yamaha.com/products/network/solution/internet/opticalfiber_command/
と同じレベルの運用ということで良ければ。
※プライベートセグメントは 192.168.50.0/24
ルータのLAN側アドレスは 192.168.50.1/24
LANインターフェースはFastEthernet1/0
WANインターフェースはFastEthernet0/1
をそれぞれ使用している想定で。
※動的フィルター(ステートフルパケットインスペクション)使ってます。
※IPv4アドレスのみ想定してます。
※お漏らし対策をするだけで、LAN内は自由に行き来できるようにするために、フィルター適用は全部WANインターフェースです。
# 特定マシンをインターネットにアクセスさせたくないけど、LAN内は行き来したい
# dhcpコンフィグレーションモードに移行
ip dhcp profile [プロファイル名]
# MACアドレスを登録し、特定のマシンには特定のアドレスが割り振られるようにする。
fixed-assignment 192.168.50.254 XX:XX:XX:XX:XX:XX
# MACアドレスは:(コロン)区切り。詳細はコマンドリファレンスを。
でもこれはやってあるみたいだね。
209anony
2016/03/12(土) 02:38:08.19ID:??? # 動的フィルターで使うので全部通過させる
ip access-list for-dynamic permit ip src any dest any
# 動的フィルター
ip access-list dynamic dynamic01 access for-dynamic
# ブラスターウイルス
ip access-list blaster-block deny tcp src any sport eq 135 dest any dport any
ip access-list blaster-block deny tcp src any sport any dest any dport eq 135
ip access-list blaster-block deny udp src any sport eq 135 dest any dport any
ip access-list blaster-block deny udp src any sport any dest any dport eq 135
# NetBIOS
ip access-list netbios-block deny tcp src any sport range 137 139 dest any dport any
ip access-list netbios-block deny tcp src any sport any dest any dport range 137 139
ip access-list netbios-block deny udp src any sport range 137 139 dest any dport any
ip access-list netbios-block deny udp src any sport any dest any dport range 137 139
ip access-list netbios-block deny tcp src any sport eq 445 dest any dport any
ip access-list netbios-block deny tcp src any sport any dest any dport eq 445
ip access-list netbios-block deny udp src any sport eq 445 dest any dport any
ip access-list netbios-block deny udp src any sport any dest any dport eq 445
# ident
ip access-list ident-block deny tcp src any sport eq 113 dest any dport any
ip access-list ident-block deny tcp src any sport any dest any dport eq 113
ip access-list ident-block deny udp src any sport eq 113 dest any dport any
ip access-list ident-block deny udp src any sport any dest any dport eq 113
ip access-list for-dynamic permit ip src any dest any
# 動的フィルター
ip access-list dynamic dynamic01 access for-dynamic
# ブラスターウイルス
ip access-list blaster-block deny tcp src any sport eq 135 dest any dport any
ip access-list blaster-block deny tcp src any sport any dest any dport eq 135
ip access-list blaster-block deny udp src any sport eq 135 dest any dport any
ip access-list blaster-block deny udp src any sport any dest any dport eq 135
# NetBIOS
ip access-list netbios-block deny tcp src any sport range 137 139 dest any dport any
ip access-list netbios-block deny tcp src any sport any dest any dport range 137 139
ip access-list netbios-block deny udp src any sport range 137 139 dest any dport any
ip access-list netbios-block deny udp src any sport any dest any dport range 137 139
ip access-list netbios-block deny tcp src any sport eq 445 dest any dport any
ip access-list netbios-block deny tcp src any sport any dest any dport eq 445
ip access-list netbios-block deny udp src any sport eq 445 dest any dport any
ip access-list netbios-block deny udp src any sport any dest any dport eq 445
# ident
ip access-list ident-block deny tcp src any sport eq 113 dest any dport any
ip access-list ident-block deny tcp src any sport any dest any dport eq 113
ip access-list ident-block deny udp src any sport eq 113 dest any dport any
ip access-list ident-block deny udp src any sport any dest any dport eq 113
210anony
2016/03/12(土) 02:38:34.18ID:??? # ip spoofing攻撃、land攻撃、smurf攻撃の対策として、プライベートセグメントと同IPからの発信を防御する
ip access-list private-block deny ip src 192.168.50.0/24 dest any
# 特定のマシンからインターネットへのアクセス制限をする
ip access-list no-internet deny ip src 192.168.50.254/32 dest any
# 全部拒否する ※暗黙のdeny anyあるけど視覚的に明示するため
ip access-list all-deny deny ip src any dest any
# プライベートセグメントからのみルータへのtelnet/http/sshアクセスを許可する
ip access-list management permit ip src 192.168.50.0/24 dest any
# WANインターフェースにフィルター適用
interface FastEthernet0/1.1
※インターネット側から防御する
ip filter ipspoof-block 10 in
ip filter all-deny 20 in
※インターネットへ漏れないようにする
ip filter blaster-block 10 out
ip filter netbios-block 20 out
ip filter ident-block 30 out
ip filter no-internet 40 out
※動的フィルタ
ip filter dynamic01 50 out
ip access-list private-block deny ip src 192.168.50.0/24 dest any
# 特定のマシンからインターネットへのアクセス制限をする
ip access-list no-internet deny ip src 192.168.50.254/32 dest any
# 全部拒否する ※暗黙のdeny anyあるけど視覚的に明示するため
ip access-list all-deny deny ip src any dest any
# プライベートセグメントからのみルータへのtelnet/http/sshアクセスを許可する
ip access-list management permit ip src 192.168.50.0/24 dest any
# WANインターフェースにフィルター適用
interface FastEthernet0/1.1
※インターネット側から防御する
ip filter ipspoof-block 10 in
ip filter all-deny 20 in
※インターネットへ漏れないようにする
ip filter blaster-block 10 out
ip filter netbios-block 20 out
ip filter ident-block 30 out
ip filter no-internet 40 out
※動的フィルタ
ip filter dynamic01 50 out
211anony
2016/03/12(土) 02:39:17.20ID:??? # telnet/http/sshサーバ機能にフィルター適用
telnet-server ip access-list management
http-server ip access-list management
ssh-server ip access-list management
以上。
遠隔地からの設定は地雷。
頑張って。
telnet-server ip access-list management
http-server ip access-list management
ssh-server ip access-list management
以上。
遠隔地からの設定は地雷。
頑張って。
212anony
2016/03/12(土) 02:50:03.03ID:??? 設定し終わったら
http://www.mc6800.org/PHP-BIN/SURVEY/PHP_NETWORK_SECURITY_SCANNERS/
で、自分のグローバルIPに対してポートスキャンができるので、
0番から65536番まで指定して穴が無いかチェックするといい。
http://www.mc6800.org/PHP-BIN/SURVEY/PHP_NETWORK_SECURITY_SCANNERS/
で、自分のグローバルIPに対してポートスキャンができるので、
0番から65536番まで指定して穴が無いかチェックするといい。
2016/03/12(土) 12:44:36.17ID:???
>>208
ドヤ顔で貼られてますが、NAPT併用、一部のサーバ公開が考慮されておらず、
ただ動的フィルタと危険なポートブロックをしているだけなので参考になりません。
質問の意図の理解度が非常に低いと見受けられます。
ドヤ顔で貼られてますが、NAPT併用、一部のサーバ公開が考慮されておらず、
ただ動的フィルタと危険なポートブロックをしているだけなので参考になりません。
質問の意図の理解度が非常に低いと見受けられます。
215anonymous
2016/03/12(土) 14:09:01.10ID:??? 文章と手のひら返しから漂う女臭
216anonymous
2016/03/12(土) 14:19:22.61ID:??? >>193
なんか「つぎはぎ」と呼ぶに相応しい変なconfig
ip access-list admin_console permit ip src any dest 192.168.50.0/24
これは、Ether-IP経由で管理することもあるからってんで src any?
ip access-list lan-allow permit ip src 192.168.50.0/24 dest any
ip access-list management permit ip src 192.168.50.0/24 dest any
ip access-list management2 permit ip src 192.168.2.0/24 dest any
同じネットワークを2行定義してるのもそうだけど、192.168.2.0って使ってんの?
ip filter ssh-pass 140 in
ip filter ftp-pass 150 in
ip filter gwmng-pass 60000 in
フィルターの定義が無いけど・・・・・・
ip filter all-forward 65000 in
ip filter all-forward 65000 out
NAPTあるからいいけど、景気よくご開帳っすな
なんか「つぎはぎ」と呼ぶに相応しい変なconfig
ip access-list admin_console permit ip src any dest 192.168.50.0/24
これは、Ether-IP経由で管理することもあるからってんで src any?
ip access-list lan-allow permit ip src 192.168.50.0/24 dest any
ip access-list management permit ip src 192.168.50.0/24 dest any
ip access-list management2 permit ip src 192.168.2.0/24 dest any
同じネットワークを2行定義してるのもそうだけど、192.168.2.0って使ってんの?
ip filter ssh-pass 140 in
ip filter ftp-pass 150 in
ip filter gwmng-pass 60000 in
フィルターの定義が無いけど・・・・・・
ip filter all-forward 65000 in
ip filter all-forward 65000 out
NAPTあるからいいけど、景気よくご開帳っすな
217☆
2016/03/12(土) 15:57:51.60ID:??? 盛り上がってるな
218anonymous
2016/03/12(土) 16:03:10.92ID:??? なんかここ最近のカキコってVPNばっかりだよね
皆結構使ってんだな
皆結構使ってんだな
219anonymous
2016/03/12(土) 16:35:20.58ID:??? VPN通して一体何やってるのぽまいら
220anonymous@p1757239-omed01.tokyo.ocn.ne.jp
2016/03/12(土) 17:34:54.08ID:??? 俺の場合は海外行った時の2ch書き込み用とエロサイト見る用
国によったらdmmのサイトでさえ、その国のispからアクセス不可
あと、出先にて自スマホにくる地元スーパーの5%引きクーポンメールを母ちゃんの為に実家プリンターでリモート印刷
セットアップに苦労したわりにはたいした使い方やってないわ
国によったらdmmのサイトでさえ、その国のispからアクセス不可
あと、出先にて自スマホにくる地元スーパーの5%引きクーポンメールを母ちゃんの為に実家プリンターでリモート印刷
セットアップに苦労したわりにはたいした使い方やってないわ
2016/03/12(土) 18:48:50.16ID:???
>>216
いやほんと継ぎ接ぎして書いたconfigなので、その指摘で正しいです。私が貼ったフィルタ名で検索すると出典元が出てきそう。
フィルタだけ有って設定してないものも何箇所か散見されますね。コメントアウトするか削除すべきでしょう。
ご指摘ありがとうございます。
いろいろなサイト様と設定事例集と見比べつつ比較して見るんですが、みなさん個々のポリシー持って組まれてるんで、
だんだんワケがわからなくなるんですよねえ。本来は、ネットワーク設計があって、それを実現するためのconfigを書けばいいわけなんですが
元々家庭用ルータがあり、それの置き換え(早く動かしたい)という感じで使用開始したため、結局コピペコンフィグに。
とりあえず暗黙のdenyとNAPTが果たす簡易FW(副次的作用のFWか?)で、ひとまずの危険は回避しているという認識ですが、
LAN→WANへのお漏らし徹底という意味でも、まともなフィルタ設定を書く必要有りですね。
>>208
過去スレの再掲っていう意見も出てるっぽいけど、わざわざ有り難う。
サーバー公開用のフィルタこちらで追加すればいいからそこは問題なさそうだ。
>>スレの先輩方へ
静的フィルタでいちいちポート指定しててもいいけど、設定行も増えるし、動的フィルタを用いてLAN→WANを全許可しつつ、個々にまずそうと思われるポートは静的フィルタで、
LAN→WAN、WAN→LAN方向双方ともに塞ぐというのがベストなのかな。理解が乏しくて申し訳ないけど、ご教示ください。
うちもVPN使っているけど、利便性と速度考えてSoftEther使ってます。オープンソース版だと鍵認証できないから本来はセグメント分けたり対策が要りそうだけど特にやってない。
いやほんと継ぎ接ぎして書いたconfigなので、その指摘で正しいです。私が貼ったフィルタ名で検索すると出典元が出てきそう。
フィルタだけ有って設定してないものも何箇所か散見されますね。コメントアウトするか削除すべきでしょう。
ご指摘ありがとうございます。
いろいろなサイト様と設定事例集と見比べつつ比較して見るんですが、みなさん個々のポリシー持って組まれてるんで、
だんだんワケがわからなくなるんですよねえ。本来は、ネットワーク設計があって、それを実現するためのconfigを書けばいいわけなんですが
元々家庭用ルータがあり、それの置き換え(早く動かしたい)という感じで使用開始したため、結局コピペコンフィグに。
とりあえず暗黙のdenyとNAPTが果たす簡易FW(副次的作用のFWか?)で、ひとまずの危険は回避しているという認識ですが、
LAN→WANへのお漏らし徹底という意味でも、まともなフィルタ設定を書く必要有りですね。
>>208
過去スレの再掲っていう意見も出てるっぽいけど、わざわざ有り難う。
サーバー公開用のフィルタこちらで追加すればいいからそこは問題なさそうだ。
>>スレの先輩方へ
静的フィルタでいちいちポート指定しててもいいけど、設定行も増えるし、動的フィルタを用いてLAN→WANを全許可しつつ、個々にまずそうと思われるポートは静的フィルタで、
LAN→WAN、WAN→LAN方向双方ともに塞ぐというのがベストなのかな。理解が乏しくて申し訳ないけど、ご教示ください。
うちもVPN使っているけど、利便性と速度考えてSoftEther使ってます。オープンソース版だと鍵認証できないから本来はセグメント分けたり対策が要りそうだけど特にやってない。
222anonymous
2016/03/12(土) 21:08:36.98ID:??? 結果として同じように設定出来るの技を持っているのであれば、あとは好みの問題だわな
使用しているソフトウェア(OSを含む)がどんな種類のプロトコルと何番のポートを使って通信するかを正確に把握した上で、
その都度パケットフィルタの追加・削除をきちんと管理出来ますと言うのであれば静的フィルタでも良いだろうけど、それを
面倒だと感じるなら動的フィルタって感じ
俺は別にネットワーク機器やサーバーのマニアじゃないし、報酬もらって仕事でやるならともかく自宅でまで面倒なことしたくない
から動的フィルタ使ってる
プロトコルやポート毎じゃなくてソフトウェア毎に個別に許可する/しないをやりたいのなら、それはIXじゃなくて
パーソナルファイアウォールの仕事
使用しているソフトウェア(OSを含む)がどんな種類のプロトコルと何番のポートを使って通信するかを正確に把握した上で、
その都度パケットフィルタの追加・削除をきちんと管理出来ますと言うのであれば静的フィルタでも良いだろうけど、それを
面倒だと感じるなら動的フィルタって感じ
俺は別にネットワーク機器やサーバーのマニアじゃないし、報酬もらって仕事でやるならともかく自宅でまで面倒なことしたくない
から動的フィルタ使ってる
プロトコルやポート毎じゃなくてソフトウェア毎に個別に許可する/しないをやりたいのなら、それはIXじゃなくて
パーソナルファイアウォールの仕事
2016/03/12(土) 22:21:56.65ID:???
>>222
参考になります。
とりあえず公開サーバー系は別に考えるとして、それ以外はLAN→WANを動的フィルタで全許可。それ以外は暗黙のdenyで拒否という設定に改めようと思う。
また分からんくなったらきます。ありがとう
参考になります。
とりあえず公開サーバー系は別に考えるとして、それ以外はLAN→WANを動的フィルタで全許可。それ以外は暗黙のdenyで拒否という設定に改めようと思う。
また分からんくなったらきます。ありがとう
224ix2015しか使えない貧乏人 ◆EIIxd0KNm.
2016/03/12(土) 22:25:02.17ID:???225anonymous
2016/03/12(土) 22:28:20.91ID:??? 公開するサーバーの使用ポートがsrv-passグループのやつで間違いないっていうなら
あとは
ip napt static 〜
ってやってLAN内のサーバーと紐付けてやればNAPT越しにサーバ公開できる
VPN以外はHTTP(S)とDBとVNCとSSHってところか
あとは
ip napt static 〜
ってやってLAN内のサーバーと紐付けてやればNAPT越しにサーバ公開できる
VPN以外はHTTP(S)とDBとVNCとSSHってところか
226anonymous
2016/03/12(土) 23:06:59.44ID:??? いつになく盛り上がってるな
227anonymous
2016/03/12(土) 23:21:28.15ID:??? NECのルーターってどうなのよ
228anonymous
2016/03/12(土) 23:28:07.21ID:??? 至高ではないが最高ではある
229anonymous
2016/03/13(日) 00:14:58.85ID:??? ほう
至高はどこなの?YAMAHAが好きだが、やっぱりししゅこたん?
至高はどこなの?YAMAHAが好きだが、やっぱりししゅこたん?
230ix2015しか使えない貧乏人 ◆en.fiL6a1E
2016/03/13(日) 00:18:22.28ID:??? >>225
ありがとう。とりあえずフィルタはpermitのみ記述、公開ポートはNAPTで転送という形に変更したよ。
つぎはぎで無駄になってたフィルタもごそっと削除。
ところで、中国系のDOS攻撃排除を目的に、下記の様なフィルタを作成したんだが
ip filter nochina 5 inを追加するとネット不通になる。(out側でフィルタしても同様)
これはなぜだろうか。度々申し訳ないがご教示のほどお願いします。
フィルタ部分
!全許可
ip access-list all-forward permit ip src any dest any
!ググッて出てきた中国系IPを一括して列挙(多すぎるので1件だけ)
ip access-list nochina deny ip src 1.0.16.0/20 dest any
!XP等非サポートOSをインターネットに出さない
ip access-list noxp deny ip src 192.168.50.110/32 dest any
WAN側IFにoutで適用
interface FastEthernet0/1.1
encapsulation pppoe
auto-connect
ppp binding interlink
ip address ipcp
ip napt enable
ip napt service (略)
ip filter nochina 5 in
ip filter noxp 10 out
ip filter all-forward 65000 out
no shutdown
ありがとう。とりあえずフィルタはpermitのみ記述、公開ポートはNAPTで転送という形に変更したよ。
つぎはぎで無駄になってたフィルタもごそっと削除。
ところで、中国系のDOS攻撃排除を目的に、下記の様なフィルタを作成したんだが
ip filter nochina 5 inを追加するとネット不通になる。(out側でフィルタしても同様)
これはなぜだろうか。度々申し訳ないがご教示のほどお願いします。
フィルタ部分
!全許可
ip access-list all-forward permit ip src any dest any
!ググッて出てきた中国系IPを一括して列挙(多すぎるので1件だけ)
ip access-list nochina deny ip src 1.0.16.0/20 dest any
!XP等非サポートOSをインターネットに出さない
ip access-list noxp deny ip src 192.168.50.110/32 dest any
WAN側IFにoutで適用
interface FastEthernet0/1.1
encapsulation pppoe
auto-connect
ppp binding interlink
ip address ipcp
ip napt enable
ip napt service (略)
ip filter nochina 5 in
ip filter noxp 10 out
ip filter all-forward 65000 out
no shutdown
231anonymous
2016/03/13(日) 00:41:36.19ID:??? >>230
静的フィルタってやってんのかな?
nochinaグループのいずれかに含まれるIPにアクセスしているけど、
相手から折り返してくる通信をinで弾いているから、PCまで返ってきてないんじゃないの?
1.0.16.0/20
これ日本のアドレス空間みたいだけど?
静的フィルタってやってんのかな?
nochinaグループのいずれかに含まれるIPにアクセスしているけど、
相手から折り返してくる通信をinで弾いているから、PCまで返ってきてないんじゃないの?
1.0.16.0/20
これ日本のアドレス空間みたいだけど?
232ix2015しか使えない貧乏人 ◆en.fiL6a1E
2016/03/13(日) 02:29:17.73ID:??? >>231
ありがとう。あちゃー。日本のIPか…。googleにアクセスした時点でタイムアウトするから、全く使い物にならんよ。
元ネタはipv4.fetus.jp/krfilterからcn,kr,kpのアドレス一覧をもらってきて、エクセル;秀丸で整形して流し込んだ感じ。
公開しているWEB類は、保守の手間とか考えてさくらのレンタルサーバに逃がしてるんだけど、テスト用のページとか、owncloudとか立ててるもんだから
そのへんからのアクセスを弾きたくて設定してる感じ。
>>281のコメントを参考にする限り、中・韓・北朝鮮のIPだと思っていたリストに日本のIPが多数混入している感じだね。
見なおしてみるよ。
ありがとう。あちゃー。日本のIPか…。googleにアクセスした時点でタイムアウトするから、全く使い物にならんよ。
元ネタはipv4.fetus.jp/krfilterからcn,kr,kpのアドレス一覧をもらってきて、エクセル;秀丸で整形して流し込んだ感じ。
公開しているWEB類は、保守の手間とか考えてさくらのレンタルサーバに逃がしてるんだけど、テスト用のページとか、owncloudとか立ててるもんだから
そのへんからのアクセスを弾きたくて設定してる感じ。
>>281のコメントを参考にする限り、中・韓・北朝鮮のIPだと思っていたリストに日本のIPが多数混入している感じだね。
見なおしてみるよ。
233anonymous
2016/03/13(日) 02:46:22.00ID:??? >>232
ドメインの末尾が.jpで終わるホストからのみのアクセスにしたいと言うのであれば、
ip access-list srv-pass permit tcp src src-domain *.jp sport any dest [サーバーのIP] dport eq 80
こんな書き方も出来るけどね
詳細はコマンドリファレンスを見てくれ
ドメインの末尾が.jpで終わるホストからのみのアクセスにしたいと言うのであれば、
ip access-list srv-pass permit tcp src src-domain *.jp sport any dest [サーバーのIP] dport eq 80
こんな書き方も出来るけどね
詳細はコマンドリファレンスを見てくれ
234ix2015しか使えない貧乏人 ◆njjgaOjCF.
2016/03/13(日) 02:49:15.95ID:??? >>231
別のサイト、filtering.web.fc2.com/iptables_cnkr.shからブロック対象一覧を持ってきて、
interface FastEthernet0/1.1
(途中略)
ip filter nochina 5 in
ip filter noxp 10 out
ip filter all-forward 65000 out
と設定してみた。その後、8.8.8.8(Google)へpingを打ったところ通らなかったな
ブロックリストには8.8.8.8が含まれていないのは確認済み。
リストが悪さしているのは理解できるが、じゃあどうすれば?というところで躓いてしいました。
別のサイト、filtering.web.fc2.com/iptables_cnkr.shからブロック対象一覧を持ってきて、
interface FastEthernet0/1.1
(途中略)
ip filter nochina 5 in
ip filter noxp 10 out
ip filter all-forward 65000 out
と設定してみた。その後、8.8.8.8(Google)へpingを打ったところ通らなかったな
ブロックリストには8.8.8.8が含まれていないのは確認済み。
リストが悪さしているのは理解できるが、じゃあどうすれば?というところで躓いてしいました。
235ix2015しか使えない貧乏人 ◆en.fiL6a1E
2016/03/13(日) 02:50:52.60ID:???236anonymous
2016/03/13(日) 03:12:01.32ID:??? >>233
ごめん
正しくは
ip access-list srv-pass permit tcp src src-domain .jp sport any dest [サーバーのIP] dport eq 80
で、アスタリスク入れたらダメかも
ごめん
正しくは
ip access-list srv-pass permit tcp src src-domain .jp sport any dest [サーバーのIP] dport eq 80
で、アスタリスク入れたらダメかも
237anonymous
2016/03/13(日) 03:20:15.97ID:??? >>234
>>234
静的フィルタだから、恐らくin側フィルタに戻りの通信(established)を通す設定をしてやらんとパケットが返ってこないよ
全部暗黙のdeny anyで弾かれてる
pingが返らないのも同じ理由
ip access-list [適当な名前] permit icmp src any dest any
ip access-list [適当な名前] permit tcp established src any dest any
か
ip access-list [適当な名前] permit icmp src any dest [プライベートアドレス空間]
ip access-list [適当な名前] permit tcp established src any dest [プライベートアドレス空間]
で定義して
ip filter [適当な名前] 65000 in
>>234
静的フィルタだから、恐らくin側フィルタに戻りの通信(established)を通す設定をしてやらんとパケットが返ってこないよ
全部暗黙のdeny anyで弾かれてる
pingが返らないのも同じ理由
ip access-list [適当な名前] permit icmp src any dest any
ip access-list [適当な名前] permit tcp established src any dest any
か
ip access-list [適当な名前] permit icmp src any dest [プライベートアドレス空間]
ip access-list [適当な名前] permit tcp established src any dest [プライベートアドレス空間]
で定義して
ip filter [適当な名前] 65000 in
238anonymous
2016/03/13(日) 13:10:11.05ID:??? 暗黙のdenyって何回も捕捉で説明されてるのにまだ忘れてて草
239anon
2016/03/13(日) 13:17:19.08ID:??? そもそもNAPTのテーブルにまず載らないものを執拗にフィルタリングしようとしてるけど意味あるの?
実環境でカウンタが上がることがあるのか試してここに書いてほしいね。
実環境でカウンタが上がることがあるのか試してここに書いてほしいね。
240anonymous
2016/03/13(日) 13:35:14.92ID:??? Atermとかの家庭用ルーターのパケットフィルタだと『暗黙のダイナミックフィルター』になってて
何もする必要うないから違いにとまどってるのかなぁ
何もする必要うないから違いにとまどってるのかなぁ
241ix2015しか使えない貧乏人 ◆en.fiL6a1E
2016/03/13(日) 21:46:57.36ID:??? >>239
NAPTテーブルに存在しない物は結局でdenyされるのでそれは良いのですが、公開サーバーの海外からのIP弾くにはどうしたら良いのかなと思った次第です。
apacheの.htaccessにdenyを書くというのも一つの解決策でしょうが、別ポートでやられると面倒です。
OS側のFWでipfilterを書いても良いのですが、面倒…内側からは好きに使いたいというのもあり、そういうことはルーターで一括でセッティングしてやりたいなと思った感じです
>>237
ありがとう。教わった設定を投入してみたんだけどやっぱりダメだなあ…
昨晩遅くの事なのでターミナルログも残っておらず具体的な説明が出来なくて残念なんだけど。
今週は原因追求の時間が取れないので、残りは週末の宿題になりそう。
NAPTテーブルに存在しない物は結局でdenyされるのでそれは良いのですが、公開サーバーの海外からのIP弾くにはどうしたら良いのかなと思った次第です。
apacheの.htaccessにdenyを書くというのも一つの解決策でしょうが、別ポートでやられると面倒です。
OS側のFWでipfilterを書いても良いのですが、面倒…内側からは好きに使いたいというのもあり、そういうことはルーターで一括でセッティングしてやりたいなと思った感じです
>>237
ありがとう。教わった設定を投入してみたんだけどやっぱりダメだなあ…
昨晩遅くの事なのでターミナルログも残っておらず具体的な説明が出来なくて残念なんだけど。
今週は原因追求の時間が取れないので、残りは週末の宿題になりそう。
242anonymous@s952055.xgsspn.imtp.tachikawa.spmode.ne.jp
2016/03/14(月) 11:20:21.52ID:??? 海外からのip弾くのはやっぱアクセスリストかかないとなー
でもそんなんじゃ気休めにもならないなー
だって攻撃してくるipは無数にあるし、常時変わるわけだから
でもそんなんじゃ気休めにもならないなー
だって攻撃してくるipは無数にあるし、常時変わるわけだから
243anonymous
2016/03/14(月) 13:05:52.15ID:???244anonymous
2016/03/14(月) 20:30:21.98ID:??? ドメインで書くってことは都度(?)逆引きするってことだし、
逆引きするってことは example.jp を返されて騙されることもあるし、まぁ一長一短でしょう。
逆引きの結果ってしばらくキャッシュしてるのかな。試したことないな。
逆引きするってことは example.jp を返されて騙されることもあるし、まぁ一長一短でしょう。
逆引きの結果ってしばらくキャッシュしてるのかな。試したことないな。
245anon
2016/03/14(月) 23:06:52.05ID:??? dns cache enableってやってなければIXではキャッシュしないでその都度問い合わせだろう
コマンドされてないのに勝手キャッシュしたとしたらファームウェアの欠陥
コマンドされてないのに勝手キャッシュしたとしたらファームウェアの欠陥
246anonymous
2016/03/14(月) 23:10:35.85ID:??? >>237
3ウェイハンドシェイクを考慮すると、establishedの前にackフラッグも受けるようにしないと駄目かもな
正直、書き方はもう提示されたんだから素直にdynamic filterにしとけと言いたいが
3ウェイハンドシェイクを考慮すると、establishedの前にackフラッグも受けるようにしないと駄目かもな
正直、書き方はもう提示されたんだから素直にdynamic filterにしとけと言いたいが
247ano
2016/03/14(月) 23:46:36.38ID:??? 昨日説明書の2.21.3.2 DNSアドレスデータベースを見るんだ!
NECとか大手メーカー製のいいところは仕様がちゃんと書いてあるところ
NECとか大手メーカー製のいいところは仕様がちゃんと書いてあるところ
248anon
2016/03/15(火) 19:53:06.23ID:??? FQDN指定のアクセスリストはポリシールーティングにしか使えないよ
249ix2015しか使えない貧乏人 ◆en.fiL6a1E
2016/03/15(火) 22:24:36.18ID:???250anonymous@zaqdb73b13a.zaq.ne.jp
2016/03/16(水) 06:15:32.13ID:??? 質問あります。
BGPで経路を制御したいのですがiPセグメントごとに経路って制御できますか?例えば奇数のセグメントはルータA、偶数のセグメントはルータBとかです。同じAS内なのでルートマップとローカルプロフェンスで重みづけすればできると想定しているのですがうまくいきません。
ご教授の程、宜しくお願いします。
BGPで経路を制御したいのですがiPセグメントごとに経路って制御できますか?例えば奇数のセグメントはルータA、偶数のセグメントはルータBとかです。同じAS内なのでルートマップとローカルプロフェンスで重みづけすればできると想定しているのですがうまくいきません。
ご教授の程、宜しくお願いします。
251anonymous@s953014.xgsspn.imtp.tachikawa.spmode.ne.jp
2016/03/16(水) 22:05:35.89ID:??? ローカルプレフで重み付けすれば、
自asから出ていく経路は制御できるけど、
たしか戻りを経路制御するにはmedをつけないといけなかった気がする。
自asから出ていく経路は制御できるけど、
たしか戻りを経路制御するにはmedをつけないといけなかった気がする。
252anonymous@s953149.xgsspn.imtp.tachikawa.spmode.ne.jp
2016/03/17(木) 23:32:57.02ID:??? そういえばmedはebgpのときだった
253anonymous@s953149.xgsspn.imtp.tachikawa.spmode.ne.jp
2016/03/17(木) 23:42:23.83ID:??? bgpの特性で同一asの経路制御って難しいよ。
act-standbyのルータセット毎に
別々のプライベートas割り振って
無理やりやってたなー
act-standbyのルータセット毎に
別々のプライベートas割り振って
無理やりやってたなー
254anonymous
2016/03/19(土) 17:26:13.15ID:??? ASが理解できない
255anonymous@nttkyo502171.tkyo.nt.ngn.ppp.infoweb.ne.jp
2016/03/26(土) 15:19:30.28ID:??? V9.3.11
Web設定画面でログインしてもコンソールにゴミが出なくなった。
常時接続VPN (IPSec, IPv4 over IPv6 tunneling) が安定した。
V9.2.XX まではなんとなく不安定だったけど、今回は今のところいい感じ。
Web設定画面でログインしてもコンソールにゴミが出なくなった。
常時接続VPN (IPSec, IPv4 over IPv6 tunneling) が安定した。
V9.2.XX まではなんとなく不安定だったけど、今回は今のところいい感じ。
256anon
2016/03/26(土) 15:21:28.52ID:??? しまった、晒してしまった。 IP変更。。。
257anon
2016/03/26(土) 15:24:23.22ID:??? ↓これはウソだった・・・
Web設定画面でログインしてもコンソールにゴミが出なくなった。
Web設定画面でログインしてもコンソールにゴミが出なくなった。
258anonymous
2016/03/27(日) 17:24:24.03ID:??? ゴミって言うか、何時何分に誰かがログインしたぞって通知じゃないの?
むしろ、それを表示させなくするっていうのがあり得ないだろ
むしろ、それを表示させなくするっていうのがあり得ないだろ
259anon
2016/03/27(日) 19:21:53.81ID:??? 書き方が正確じゃなかったが、ゴミは本当。
Web設定画面にアクセスするだけで、コンフィグモードのコンソールに
V9の初めの頃は、まさにゴミ(意味不明な文字列)がコンソールに出力されてた。
最近のファームでは、何らかの不可視コードが出力される。
V8までは起こらなかった。実害は全くない。
Web設定画面にアクセスするだけで、コンフィグモードのコンソールに
V9の初めの頃は、まさにゴミ(意味不明な文字列)がコンソールに出力されてた。
最近のファームでは、何らかの不可視コードが出力される。
V8までは起こらなかった。実害は全くない。
260a
2016/03/27(日) 23:37:30.35ID:??? 一度設定してしまえばtelnet/ssh/webのいずれかばかりになってconsoleなんて滅多に使わんからな
・・・・・・
とか言いつつ、万が一に備えてスーパーリセットとファームのアップデートの時には使うな
・・・・・・
とか言いつつ、万が一に備えてスーパーリセットとファームのアップデートの時には使うな
261anonymous
2016/03/27(日) 23:52:28.08ID:??? 9.3.11でヘアピンNAT対応か。
かなり前にYAMAHAルーターとの比較でたびたび話題になったことがあったと思ったが内容を忘れた。
NAPT関係の強化が多いな。
キャッシュサイズのデフォルトを4096から65535へ変更ってのは大胆なことで。
PPTPのマルチ対応は何気に嬉しい奴がいるだろうな。
内蔵のOpenSSLが更新されているので企業ユーザは更新必須だろうな。
かなり前にYAMAHAルーターとの比較でたびたび話題になったことがあったと思ったが内容を忘れた。
NAPT関係の強化が多いな。
キャッシュサイズのデフォルトを4096から65535へ変更ってのは大胆なことで。
PPTPのマルチ対応は何気に嬉しい奴がいるだろうな。
内蔵のOpenSSLが更新されているので企業ユーザは更新必須だろうな。
262anonymous
2016/03/29(火) 15:18:54.28ID:cxf+UuEB 早速9.3.11にアップしてみた
PPTPマルチはうれしいな
でも、トップページの右上に前回ログイン日時が表示されないのはオレだけか?
PPTPマルチはうれしいな
でも、トップページの右上に前回ログイン日時が表示されないのはオレだけか?
263 ◆S/YLxH/p.c
2016/03/29(火) 20:26:39.16ID:/ynhLD40 最初に無がああった
無は有を生んだ
これが全ての真理
無は有を生んだ
これが全ての真理
264anonymous
2016/03/29(火) 22:14:18.32ID:??? はい
265anonymous
2016/03/31(木) 13:19:34.21ID:O5b+gYSo 9.3.11が出たというのに書きこみが少ないな
もうIXはあまり使われていないのだろうか
RTXのほうが使いやすいのかね
もうIXはあまり使われていないのだろうか
RTXのほうが使いやすいのかね
266anonymous
2016/03/31(木) 13:46:13.45ID:??? そらRTXだろうなぁー中古で手に入れてもFWで苦労しないし
最近は自社APやハブと連携したり、可視化を推進してるしな
おまえらはよくセッション処理云々で叩くが、
1210出た今それでもNECじゃなきゃ無理ってのは少数派だろ
最近は自社APやハブと連携したり、可視化を推進してるしな
おまえらはよくセッション処理云々で叩くが、
1210出た今それでもNECじゃなきゃ無理ってのは少数派だろ
267anonymous
2016/03/31(木) 19:54:21.51ID:??? まあファームウェアをバージョンアップしたところで劇的なスピードアップとかがあるわけでもなし
新機能にしたって、それを使う環境でなければコメントのしようがないしな
かくいう俺は普通のBBルーターとしてしか使ってないから、アレすると再起動コレすると再起動ってのが
修正されていればいい
その勝手に再起動の場面にすら出くわしたこと無いけど
新機能にしたって、それを使う環境でなければコメントのしようがないしな
かくいう俺は普通のBBルーターとしてしか使ってないから、アレすると再起動コレすると再起動ってのが
修正されていればいい
その勝手に再起動の場面にすら出くわしたこと無いけど
■ このスレッドは過去ログ倉庫に格納されています
ニュース
- 【大阪】万博会場へのシャトルバスが事故 同型バスの運行停止 [七波羅探題★]
- 【社会】コロナ後もマスク外せず「素顔ギャップ」「恋愛」に戸惑う若者の本音 [七波羅探題★]
- 田中圭 元女優妻は“15歳年下”との不倫報道に激しい嫌悪感…永野芽郁に慰謝料請求も辞さない姿勢 [Ailuropoda melanoleuca★]
- 【仕事】増えるトラック、バスの外国人ドライバー 運転手不足で「特定技能」に追加、安全教育徹底 [七波羅探題★]
- 「石破降ろし」ムード後退、ポスト石破8人は…GW活用し議員外交・関税交渉で存在感アピール [蚤の市★]
- 【ラジオ】永野芽郁、田中圭との不倫疑惑後初の『ANNX』で謝罪「誤解を招くような行動…反省」「本当にごめんなさい」★11 [Ailuropoda melanoleuca★]
- 国道1号線、ぶっ壊れる! [219241683]
- 【安倍晋三】小野口征とかいう謎の書き込み、みんなよく分からないので下手にいじれない [748563222]
- 🏡🐷☎北朝鮮に生まれてよかったー🇰🇵💕🚀🏡
- 万博擁護派「治安の悪い地域はアフタヌーンティーに備え付けのジャムを全部使い切るから紙コップにしてるんですよ」 [788736982]
- 大阪万博の目玉である自動運転バス、勝手に動き出して事故ったため運行中止 [455679766]
- 国際問題アナリスト「今の財務省はグローバリストの温床ですよ。日本のディープステートの中心です。」 [827565401]