YAMAHA業務向けルーター運用構築スレッドPart20©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
パケットフィルタはセッションで管理するの当たり前で良いと思うのに
単純なフィルタは流石に時代遅れ。
昔ならリソース不足とかあったかもしれないけどな。 リソースという問題なら、RTX810とFWX120はスペック結構違うんじゃなかったっけ 中→外を単純なフィルタすることはあるよ。外部に迷惑かけないために。
ソースがエフェメラルポートより若いポートはサーバー以外ブロックしてる。 Linuxで使えるiptablesの、ステートフルインスペクションってあるでしょ。
。。。INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
これと、RTX1210とかに搭載されている動的フィルタとどう違うんだろう。
ip filter dynamic 8 * * tcp
ip filter dynamic 9 * * udp
RTXの場合、tcpやudpの他に、wwwなど通信に応じて設定もできるようだけど。
tcp,udpという風に設定しておけば、汎用的に機能してくれるということだろうかな? >>695 ダイナミックのほうが設定が面倒って感じ
やろうとしているのは同じことだけど、RTXの方が細かく設定できる >>696
ああ、たしか細かい設定あったなあ。
トリガを設定して、入り口を開放するみたいな。
そうすると、iptablesの方は、例外なく一般的な動作しかしなさそうだな。 おいおい、ヤマハのダイナミックフィルタとセッション書いて終わりなFWのフィルタは全然別モンだよ。
ダイナミックフィルタもIPフィルタも面倒なのは変わらん。
YAMAHAだけ触ってると苦労にも気付かないってか。。 >>693
FWX120はRTX1200同等スペックだった気がする >>680
FWX120って、そこのレイヤーでは仕事しないんじゃないの?
迷惑メールやexeファイルの添付はチェックしないでしょ だいぶ古いがiptablesのSPIとヤマハの動的フィルタの違いを書いた記事
http://www.itmedia.co.jp/broadband/0305/16/lp13.html
いまどきSPIなんて当たり前で
パケットフィルタなんて方が珍しいくらい
落とすならともかく通すのに
戻り(と行き)の動的フィルタとは別に
一発目の行きの静的フィルタをいちいち書くのが面倒くさい
もっぱら内側のFWに任せてる >>702
なんか、よさそうな記事ですね。
ありがとうございます。 SPIの説明でいきなりFTP持ち出すのもどうかと思うけどな。
なかなかの例外ケース。
最近は何でもかんでもSSL/TLSになってきたからFW機能持たせるならアプリケーション識別必須。
YAMAHAはWANゲートウェイくらいしか使い道無くなって来てる。
いや昔からそうか。 すみません、パケット転送フィルターについて
ルーターに
pp 1 → 固定IP8
pp 2 → 可変IP
という風に2つ契約してます。
IP8側には公開サーバーが nat masquerade static で紐付いているのですが
これをクライアントから叩くと、本来は pp 2 から外に出て行ったうえで pp 1 から入って・・・
・・・で戻りのパケットも同じルートで来て欲しいときに、パケット転送フィルターが活躍する、という理解であってますか?
あと、ヤマハの説明では ip filter pass 〜の書く例がでてますが、reject でもいいんですよね?
→そこでパケット転送フィルターの判定をやめて、通常のルーティングに回る、で桶? 転送フィルターでrejectしなければならない事あったか? やりたいのは
公開サーバーの外向け通信は pp1
クライアントのインターネット利用(公開サーバーの外側アドレスを含む)は pp2
それ以外は通常のルーティングに委ねる、という風で
ip filter 1000 reject * 192.168.0.0/16 * * *
ip filter 1001 pass 192.168.0.0/24 * * * * # サーバーがいるセグメント
ip filter 1002 pass * * * * *
ip forward filter 100 1 gateway pp 1 filter 1000 1001
ip forward filter 100 2 gateway pp 2 filter 1000 1002
ip lan1 forward filter 100
でいいのかな?、と >>707
始点だけ書いて残り全て * で pass すると
ローカルなセグメント(VPN先を含む)も、そっちに飛んでしまいますよね?
インターネットのみを pp2 に飛ばしたいため、ローカル(VPN先を含む)を reject したうえで
全pass したらインターネットのみ、が実現できるのではないかと思った次第です。
それとも、もっといい方法があるのかなぁ >>704
2003年だし主流じゃんよぉ
結局エンドポイントの時代に戻ってるよね >>712 過去形だけど使ってた、別のSNMP管理始めたので不要になったけど
まぁまぁ使えるけど 1台・2台の為に使う機能じゃないね L3スイッチ発売日いつだろう?
出たら即ポチる予定 なんでよりによってヤマハのL3なの。
罰ゲームにでも負けた?
ルータはオススメできるが無線とスイッチはダメだろ。 >>715
既にL3の動作検証されたんですか?
羨ましいです。
もし宜しければ無線とスイッチでお勧めを教えて下さい! >>717
横からだけど、L2とAPが糞なのは確かだよ
HPEやアライドよりも高く機能が少ないL2SW
ArubaやRuckusに遠く及ばず、はっきりとバッファロー以下のAP
L3SWなんか怖くて買えないよ どなたかアドバイスをください。
RTX1200のL2TP/IPsecに、外部のAndroidスマホからは正常に接続できていろいろなサイトを閲覧できていますが、Win10から接続するとYahooやYoutubeなどのURLがhttpsで始まるサイトを表示できずにタイムアウトします。
どこに原因があるのでしょうか? >>720
なんでテンプレのときに「ip tunnel tcp mss limit auto」入らないんだろうな
https://jehupc.exblog.jp/21558500/ >>722
ビンゴ!ありがとう!!
pp select anonymous に
ppp lcp mru on 1454
ip pp mtu 1454
を入れたら正常にhttpsサイトを表示できるようになりました
ずっと1258にしててうまく表示できなかったから、フィルタの設定が悪いのかと思ってた
いろんなブログを検索したけどCATVでのL2TP/IPsec設定例がほとんど無くて、2週間も悩んでいました
>>724
tunnelのほうには入れてました
ip tunnel tcp mss limit auto モバイル回線で、RTXにIPsec接続してみたんだけど、
劇遅だった。
Windowsのリモートデスクトップ開いてみたら、通信状態が悪い状態と判定された。
50Kbps程度しか落ちてこない。
そのくせ、YouTubeとかなら、数百キロbpsとなる。
格安SIMはIPsec通信制御されているんだろうか。
docomo MVNOの二社で試したがダメ。
リモートデスクトップ開いてノマドしたかったのに。使い物にならない。
いらいらして白髪生えそう。
MTUは、リモートデスクトップサーバー側Windowsで、1400に調整したら、
ほんの少し速くなった。
何か、設定ポイントあるでしょうか。 >>730 ノマドとかどこまでネタなんだよ? つまらないから書き直せ どうせRTX1100とかだろう。
830買ってからやり直し。 艦これやってるとパケットどんどん消費してるのがわかるわカクカクだわ最悪だった ipsecとかその前にsplashtopで十分やろ? 質問です
NVR510はMAP-E方式には対応していないのでしょうか?
DS-LITEのみですか? スレの棲み分けという意味ではそうなんだけど、NVR510は家庭用ってわけではないよ。
時期的にもうリプレースしてしまったかもしれないけど、ヤマト運輸の全営業所に入っていたはず。
メインはフレッツだったか広域イーサだかで、バックアップにISDNかアナログ回線という構成。 NVR500もファーム上げたらIPSec使えるようになったよね
PPTPブーム去ったから あいぽんがPPTP使えないとかじゃないか
あと一時期SPモードとかの携帯でPPTP使えない事があったような記憶がある PPTPはクライアント側もグローバルIP貰ってないと(NAT配下だと)だめだからもうほとんどのモバイルキャリアで使えないよ。 >>745
PPTPをNAPT下で使うための要件はグローバルIPでなく、GREが通るかどうか。
ttps://www.slideshare.net/mobile/RintaroSekino/pptp-50437307 アップルが採用辞めたから渋々実装した感あるけどね
RTX1000のAESみたいにNVR500で使うと負荷滅茶苦茶あがるのかな? ngn ipv6折り返しのpingの時間って、皆さんはどれくらいですか?
自分は西日本で、同一県内(兵庫県)の拠点RTX1200間で、
この時間は、25msecを超えてきます。
速いときは、5msec程度なんですが。
混雑しているのだろうか。
半年ほどまえは、時間問わず、速かったのになあ。 >>750
都内だけど5-7msくらいかなー。25msは都内から北海道とかのイメージ >>751
ありがとう
いくらなんでも時間かかり過ぎですよね。
いま、また測定したら、
4〜8msecの間に収まっていた。
気になる事象だが、一時的な遅延だったのかもしれない。 いま埼玉−茨城のpingやってみた(2409:12:*→2409:11:*)
パケット数: 送信 = 100、受信 = 100、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
最小 = 6ms、最大 = 10ms、平均 = 6ms
網内だといつもこのぐらいだな 自分は東京、相手はおそらく都内だろうけどどこか知らんとあるサーバにpingして3msくらい。
--- ***.i.open.ad.jp ping statistics ---
100 packets transmitted, 100 packets received, 0% packet loss
round-trip min/avg/max = 2.473/2.901/3.500 ms >>755
自分 2409:10:*
相手 2408:210:*
2408:210:* ってどこだろう? > 1311,2408:0210:0000:0000:0000:0000:0000:0000/30
NTT東日本の「網内折り返し基盤」とやらだな
ISPのIPoEなしでフレッツ・v6オプション申し込んだ人かな >>751
>25msは都内から北海道とかのイメージ
東日本は、NGN一本で北海道までつながっているのかな? インターネット網使っても25msあれば余裕で北海道-東京繋がるよ NGNの網の容量ってどの程度なんだろうか。どの辺りまで想定して構築されているんだろうな。
パケットが増えてきたとしても増強も簡単にできるようになっているのかな。 >>763
ある程度は余裕あるように設計されてる。
もしも想定を超えて通信量増えてもQoSでベストエフォートのユーザーの帯域絞るから速度保証のユーザーは大丈夫だ。 ひかり電話だけは最優先で通すから大丈夫。
Bフレッツでやらかした関係で >>764
>速度保証のユーザーは大丈夫だ
うーん嬉しくない。
PPPoEの現状みたいに、今度は皆がIPv6を使い始めたら、
また混雑することが嫌なんだ。
まあ、ひかり回線はNGNだけじゃないし、
IPv4にしてもインターネット側はすいすいしているから、
IPv6ユーザーが増えたとしても大丈夫かな。
PPPoEよりも、IPv6oE/NGNのほうが容量はでかいだろう。 ていうか
IPv6oE/NGNがどんずまりしてればPPPoEも同じだろう >>763
openstackでスケールアウトできる IPv4かv6か、IPoEかPPPoEか、は別次元の話だし
ましてやプロトコル変えるだけで
網内トラヒックが増えたり減ったりなんてことはない フレッツ網の話だろう
別次元というよりも混む混まないの要因ではあるし
フレッツ網自体が混んでいれば関係ない話 網内の話であってPOIから先の話はしてない
網のキャパは十二分に作ってるが万が一にも増強が追いつかなくなるなら
よそとのやり取り絞ってその分だけ網内は空きを作るだけ
インフラの責務として電話だけは維持しないといけないから
優先度つけて空きを作るだけで網内が混むことはありえない >>773
バカなの?QoSって知ってる?VoIPの帯域どのくらいか知ってる? >>775
ISDNのときに、64kbpsで同時に2チャンネルも使えた。
32kbpsくらいかな? 米、国内通信会社での中国製機器調達禁止へ「安全保障上の懸念」
政府や議会は、中国政府のスパイ活動に協力しているとして、華為と中興通訊(ZTE)を問題視
https://www.zakzak.co.jp/soc/news/180419/soc1804190012-n1.html
ソフトバンク、5Gの実証実験でZTEと提携--東京都心の環境で
https://japan.cnet.com/article/35102689/
ソフトバンクのネットサーバーは韓国にありソフトバンクでアクセスされるデータは全て韓国に筒抜け
http://blog.livedoor.jp/sofutob/archives/57011669.html
自衛官や海保隊員が命がけで作戦実行しても敵に筒抜けでは命を落とすことになります
中国の機器やサーバーを使用禁止にしろと政治家に苦情しましょう Linuxだったら、iptables -L -v でIPフィルタごとの統計情報が表示できるけど、
RTXって、そういうコマンドあったっけ? tunnelインターフェイスに注釈つけられないのかな。
WEBのトップ画面で一覧表示される時に、注釈があったらわかりやすいんだけどなあ。
IPアドレスと、トンネル番号だけではさっぱり。 スタティックルートにも注釈付けたい。
あとフィルタにも >>781
こんなものがあったのか・・・!!ナイス情報ありがとう。 >>784
Cisco 使っててヤマハにも欲しくなったんだよ…… >>781
おれがほんとのおれ
ありがとうやってみるわ
WEBインターフェイスのトップ画面のトンネル一覧にも表示されたらいいのにな♪ Cisco使いがヤマハルータいじると
descriptor lan3 __SHUTDOWN__
lan shutdown lan3
とか入ってるよな ■ このスレッドは過去ログ倉庫に格納されています
