YAMAHA業務向けルーター運用構築スレッドPart23
■ このスレッドは過去ログ倉庫に格納されています
ヤマハの中国モデルに付いてるFWX相当のパケットフィルタを早く日本モデルにも入れて欲しい 今時in/outそれぞれフィルタ書かせるなんて時代遅れも甚だしい だいたいなんで中国モデルだけ高機能なんだよ >>101 中共連携機能でも付いてるんじゃね < 中国モデルだけ >>101 アレは現地法規対応 UTMルールを配る親が中国共産党営の金盾という罰ゲーム マルウェアは素通りで必要な通信は尽く遮断される なぜ中国モデルにFW機能が付いてるかなんて聞いてない うちは日中専用線引いてるからGFW通らんし 動的フィルタも静的と併用しないと使えないから面倒 FWXの機能をルータに展開するのなぜ出し惜しみするのか理解できん 差を無くしたらFWXと売り分けできないから はい終了 理解できない無能は黙ってればいいぞ >>105 ホントにGFW通っていないなんて判らないよね GFW通ってなくても何らしかのチェックは受けてると思われ 別にチェックくらいいくらやってくれても良いんよ L2で繋いでるからちゃんとパケットさえ流してくれれば てかスレ違いじゃん ヤマハルータもそもそもオワコンだな >>111 アライドは日本製なのですが… ttps://www.allied-telesis.co.jp/company/history/index.html つまりYAMAHAを使ってないと自己申告してるんだよ 設計、品質管理は日本でしょ? 日本製でも間違ってはいない。 全行程日本でやったら純国産とか純日本製って感じかな。 ciscoもnexsus以外は中国とかでつくっているはず 設計、品質管理をやってもハードウェア製品はMade in Japanとはならんぞ。Ciscoは普及価格帯は中国製が多いね。 Twitterに1220の妄想写真出てたな 10Gポート付いてた INS64とかフレッツとかNTTの通信サービスに合わせて発展してきた歴史があるから フレッツ10Gに対応した機種は出すだろうな でも1000BASE-T対応って結構遅かったよな RT58iは絶対ギガ対応になるとかここで妄想してたような・・・ 結局しびれ切らしてRTX1200買ってしまった 今のARMを早いのに変えるだけで10Gbps対応出来るのかね? 別ハードにしてくれても良いんだけど、それだと開発遅れそう >>112 アライドテレシスって、 新井度とか言う人が創業者だとか? オシャレな名前なので、海外かと。 >>123 それ面白いと思って言ってるなら黙ってたほうがいい人だね君はw >>124 ネットワーク技術者なのに新井戸氏を知らないお前の方が黙っとけ 俺はアンガマンバス出身者しか認めん つかみんなどこ行ったんだ 人は氷ばかり掴む FWX120だけでもいいからMAP-E対応アップデートしてくれんかねえ 2010でポートVLAN組むだけだったのに ポート2以降からネットにでれなくって 3時間もかかっちゃった dns host any が抜けてるのに気づかなかっただけでした チャンチャン たま〜〜にしかやらないと 忘れるな・・・ 逆に現場で8.8.8.8でテストしてて通ったからそのまま本番に入れてネット止めた男もいますよ ネットは止まらんよな普通。社内引けなくなるとか認証出来なくなったなら判る 8.8.8.8と8.8.4.4と1.1.1.1だな テスト用と本番用で別系使ってて本番用系の最上位ルータが外部の53から内部のDNSキャッシュ以外に来るパケを無条件で弾き飛ばしてたとか? dns host any なんてあったっけ? なんだろうと記憶をさらってみると、 telnetd host any httpd host any なら覚えていた。 dns host any ってデフォルトで入ってないの? >>144 RTX1210だけど、 半年ほど最新ファームで運用していて、 この間、PCからRTX1210のリカーシブDNSに対して引けなくなったなあ。 ネットワーク大規模ダウンかと思ってかなり焦った。 RTX1210の再起動で治った。 原因不明で突如問題発生というのが怖いわ。 このとき、CPU使用率も平常だったし、RTX自体の問題だとは気づけなかった。 とりあえず復旧を急ぐ必要があったので、再起動したため、原因は不明のまま。 また同じ問題が起きるかもと警戒している。 げ、なんだよそれ fqdnルーティング最近導入したばっかなんだが >>147 ファームのバージョンくらい出せない? 最新ファームで半年と言われてもいつの最新か分からん。 >>146 昔はdns host anyがデフォだったよ オープンリゾルバ状態だとDDNS攻撃に使われるなどを考慮してanyではなくなったよ >>150 RTX1210 Rev.14.01.34で、dns host のデフォルト値調べたら、anyだった。 > dns host ? 入力形式: dns host any dns host none dns host lan dns host 始点 [始点...] 始点 = IPアドレスの範囲またはLAN, VLAN, WAN, BRIDGEインタフェー ス名 説明: DNSサーバへアクセスできるホストを設定します デフォルト値: any 攻撃はPPインターフェイスや、特定LANインターフェイスからやってくるでしょ。 それらのインターフェイスって、普通は動的フィルタかけているだろうから、 外部からDNSアクセスなんてあるのかな。 それに今は、外部UDPポート番号が推測されないように工夫されていると聞くし。 >>147 ちなみに、メモリリークなどを恐れて、 毎晩、スケジュールrestartかけている。 動的IPアドレスも変更されることも都合が良い。 >>151 なにも1IP前提で使うとは限らないでしょ >>151 >それに今は、外部UDPポート番号が推測されないように工夫されていると聞くし。 なんか壮大な勘違いをしていない? 基礎の知識すらないなら大人しくバッファローやNECのルーター使ってたほうがいいよw 素人が設定したルーターほど危険で迷惑なものはない >>151 動的フィルタじゃなくて、静的フィルタ。 >>147 が>>151 だったら、それは自分の設定のせいかもしれんね。 >>155 いや、多分あなたが勘違いしている。 調べてみて。 クライアントがDNSサーバにアクセスするときのクライアント側ポートは固定されていない。 そのポートが攻撃されると言う話。 >>157 159の話だから、動的フィルタで良い。 このスレ、レベル落ちたな、 >>159 そもそも、DNSサーバーへのアクセスの話から、なぜクライアントへの攻撃に話が変わっているのか。 >>159 クライアントの話に替わったとしても 待ち受けしてないポートがなぜ攻撃される対象になる 取説通りなら ・srcportを53を含まない範囲に設定 ・外側any→内側53を静的フィルタで落とす ・内側any→外側53をダイナミックフィルタで落とす でいいと思うんだが… ダイナミックフィルタで落とす→ダイナミックフィルタで必要な時だけ開ける だった。 DNSクライアントのポートランダマイズはキャッシュポイズニング対策 ルーターの話になんでDNSが出てくるのか意味不 DNSサーバーの話するなら別でしてくれ >>165 言っていることわかった 丁寧にありがとう >>167 わざわざRTXをDNSサーバー代わりに使うなんて変態のすることだよね 静的フィルタでわざわざIN方向UDP53へのアクセスをpassさせるやつはおかしい なるほど ヤマハ自身がその変態設定を設定例に載せてるのはさすがヤマハと言ったところか RTXをDNS(リカーシブ)サーバー兼用で使う奴のことでしょ あんなものは個人ユーザー向けのおまけ機能 まともな管理者ならローカルにDNSサーバー建てるでしょ ルーターはルーター以外の仕事させちゃダメ リカーシブサーバーでの利用なんて個人じゃ普通じゃないの? RTX1210をリカーシブサーバーにしないと、FQDNルーティングも出来ないし不便。 公開DNSを引くだけなら ルータのリカーシブサーバー機能だろうが ローカルDNSを用意しようが 利用者1000人以上の環境でもなきゃ 性能的にもセキュリティ的にも大差無い リカーシブサーバーを内向きの機能。 よって最初から外向けに使うかどうかは議論になっていない。 文脈を読むとはこういうことだ。 そもそも、>>151 がDNSの動作をよく知らないのに知ったかぶりをしたのが原因。 DNSだろうがtelnetだろうがssdだろうがhttp(WEB設定)だろうが意図せず接続できないように 万が一のミスがおきた場合のデフォ変更だろうと思うんだが >>176 延々と外向けのポート開くか開かないかの話してたと思うんだが、お前のRTXは内側からのポートアクセスブロックしてるのか? >>180 頭悪いねw >>151 は dns host any の設定だと、外部からもRTXのリカーシブサーバーにアクセスできちゃうけどヤヴァくないか? ということでしょ。 でも普通の人は静的フィルタでLAN外からのRTXへのポート番号53はブロックしているから 特に問題ないということだ。 最初から外部に開放させて使いたいなんて文脈になっていない。 なお、151で動的フィルタの話が出ているが、 RTXがサーバーとして動作する時の話なので、動的フィルタ云々はそもそも話がおかしい。 dny host anyが設定されている限り、外部からRTXのリカーシブサーバーへのアクセスをブロックするためには 絶対に静的フィルタが必要。 そもそも デフォ設定は dns host lan でよくね? dns service recursive もデフォなので 自社のDNSサーバーを公開してて ルーターの53番ポートへのフィルターかけ忘れる場合もあるしね ルーターがオープンリゾルバ状態なってても 気付かない人いると思うよ dns host lan がデフォルトでもいいけど、 インターネットにppではなくlanでつないでいる場合には結局静的フィルタ必要になるから、 セキュリティ的には?という感じもするけど。 >>180 そんな想定は自分の中には一切なかった。 ルータのサーバ機能を外部に公開するのは、VPNくらいでしょう。 >>182 ポートフォワードするから、間違ってルータLanアドレスを指定しない限り、ルータ内サービスは公開することはないよね。 でも、間違ったら大変だね。 >>181 動的フィルタかけていたら、ポートフォワードしない限り、PPインターフェイスからは、 ルータ内部のサービスへアクセスできないよ。 書いていて、PPインターフェイスとLANインターフェイスについて、ルーター内部で提供されているサービスがどう提供されるのか違いがわからなくなってきた。 LANインターフェイスはプライベートアドレスが割り当てられているとして、ルータ内部のサービスへのアクセス制御はIPフィルタで行うのは良いんだが、 PPインターフェイスからのIN方向パケットって、Linuxで言うところのINPUTチェインへは直接流れないんだっけ? 必ず、ポートフォワードでプライベートアドレスへ回す必要があると思ったんだけどな。 >>183 dns host lanN デフォならlan1でいいかも >>185 動的フィルタとNAT(masquarade)の話を混同してないか? >>188 たしかに、ポートフォワードかつ、静的INフィルタでパスさせないといけないな。 いつもコンフィグを見ながら考えているので、空で文字に考え方を書き起こしてみると、 ??みたいな状態になってしまった。 実際のところ、ただインターネットにつなげている場合だけの場合は、IPoEを使っている人限定でv6側だけ気にすればいいよね。 >>190 そういうことだ。 IPv4はNAT(masquarade)をしている限り、あえてport53に対して静的masquaradeをして、さらには静的フィルタはずさなければ RTXのリカーシブサーバーまではアクセスできないが、 IPv6だとNATがないから、リカーシブサーバーへのアクセスをブロックするには静的フィルタしかない。 上で動的フィルタ云々言っていたやつは知見不足。 >>191 OUT方向の動的パスフィルタは、 静的フィルタでリジェクトされている状態において、 IN方向への通信を限定的に許す。 >>192 そうだけどさ、その話は求められていない。 >>193 静的+動的で意味あるフィルタをかんたんに作成できる。 >>194 それで? その話は一連の流れとどう関連が? しかし、動的フィルタって、wwwとかudpとか色々あるものの、 YAMAHAの公式には説明ないし、たぶん要らない子なんだよな。 でも、何故かサンプルconfigにはこれらのフィルタ定義がある。 イミフ。 >>197 サンプルconfigは「基本外側から始まるセッションはオールリジェクトで、内側クライアントから 始まるピンポンセッションのみダイナミックで開けなさい」って感じだったような。 dynamicの説明自体は無くもないんだが、通常用途での使い方は簡易すぎて見落としがち。 tcpとudpだけの記述でいいような気もするけど 他のプロトコルも必要なんかね ftpは特殊だから必要かもしれんけど >>199 「提供したいサービスだけをダイナミックで開き、それ以外のtcp・udpはすべて弾く」っていう設定を ある程度簡易に設定できるようにするためじゃないかな? www,pop,smtpなんかはいちいちdynamic用フィルタセット組んでどうこうなんてめんどくさいし。 ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる