YAMAHA業務向けルーター運用構築スレッドPart23
■ このスレッドは過去ログ倉庫に格納されています
ヤマハの中国モデルに付いてるFWX相当のパケットフィルタを早く日本モデルにも入れて欲しい
今時in/outそれぞれフィルタ書かせるなんて時代遅れも甚だしい
だいたいなんで中国モデルだけ高機能なんだよ >>101
中共連携機能でも付いてるんじゃね < 中国モデルだけ >>101
アレは現地法規対応
UTMルールを配る親が中国共産党営の金盾という罰ゲーム
マルウェアは素通りで必要な通信は尽く遮断される なぜ中国モデルにFW機能が付いてるかなんて聞いてない
うちは日中専用線引いてるからGFW通らんし
動的フィルタも静的と併用しないと使えないから面倒
FWXの機能をルータに展開するのなぜ出し惜しみするのか理解できん 差を無くしたらFWXと売り分けできないから
はい終了
理解できない無能は黙ってればいいぞ >>105
ホントにGFW通っていないなんて判らないよね GFW通ってなくても何らしかのチェックは受けてると思われ 別にチェックくらいいくらやってくれても良いんよ
L2で繋いでるからちゃんとパケットさえ流してくれれば
てかスレ違いじゃん
ヤマハルータもそもそもオワコンだな >>111
アライドは日本製なのですが…
ttps://www.allied-telesis.co.jp/company/history/index.html つまりYAMAHAを使ってないと自己申告してるんだよ 設計、品質管理は日本でしょ?
日本製でも間違ってはいない。
全行程日本でやったら純国産とか純日本製って感じかな。
ciscoもnexsus以外は中国とかでつくっているはず 設計、品質管理をやってもハードウェア製品はMade in Japanとはならんぞ。Ciscoは普及価格帯は中国製が多いね。 Twitterに1220の妄想写真出てたな
10Gポート付いてた INS64とかフレッツとかNTTの通信サービスに合わせて発展してきた歴史があるから
フレッツ10Gに対応した機種は出すだろうな でも1000BASE-T対応って結構遅かったよな
RT58iは絶対ギガ対応になるとかここで妄想してたような・・・
結局しびれ切らしてRTX1200買ってしまった 今のARMを早いのに変えるだけで10Gbps対応出来るのかね?
別ハードにしてくれても良いんだけど、それだと開発遅れそう >>112
アライドテレシスって、
新井度とか言う人が創業者だとか?
オシャレな名前なので、海外かと。 >>123
それ面白いと思って言ってるなら黙ってたほうがいい人だね君はw >>124
ネットワーク技術者なのに新井戸氏を知らないお前の方が黙っとけ 俺はアンガマンバス出身者しか認めん
つかみんなどこ行ったんだ 人は氷ばかり掴む
FWX120だけでもいいからMAP-E対応アップデートしてくれんかねえ 2010でポートVLAN組むだけだったのに
ポート2以降からネットにでれなくって 3時間もかかっちゃった
dns host any が抜けてるのに気づかなかっただけでした チャンチャン
たま〜〜にしかやらないと 忘れるな・・・ 逆に現場で8.8.8.8でテストしてて通ったからそのまま本番に入れてネット止めた男もいますよ ネットは止まらんよな普通。社内引けなくなるとか認証出来なくなったなら判る 8.8.8.8と8.8.4.4と1.1.1.1だな テスト用と本番用で別系使ってて本番用系の最上位ルータが外部の53から内部のDNSキャッシュ以外に来るパケを無条件で弾き飛ばしてたとか? dns host any なんてあったっけ?
なんだろうと記憶をさらってみると、
telnetd host any
httpd host any なら覚えていた。
dns host any ってデフォルトで入ってないの? >>144
RTX1210だけど、
半年ほど最新ファームで運用していて、
この間、PCからRTX1210のリカーシブDNSに対して引けなくなったなあ。
ネットワーク大規模ダウンかと思ってかなり焦った。
RTX1210の再起動で治った。
原因不明で突如問題発生というのが怖いわ。
このとき、CPU使用率も平常だったし、RTX自体の問題だとは気づけなかった。
とりあえず復旧を急ぐ必要があったので、再起動したため、原因は不明のまま。
また同じ問題が起きるかもと警戒している。 げ、なんだよそれ
fqdnルーティング最近導入したばっかなんだが >>147
ファームのバージョンくらい出せない?
最新ファームで半年と言われてもいつの最新か分からん。 >>146
昔はdns host anyがデフォだったよ
オープンリゾルバ状態だとDDNS攻撃に使われるなどを考慮してanyではなくなったよ >>150
RTX1210 Rev.14.01.34で、dns host のデフォルト値調べたら、anyだった。
> dns host ?
入力形式: dns host any
dns host none
dns host lan
dns host 始点 [始点...]
始点 = IPアドレスの範囲またはLAN, VLAN, WAN, BRIDGEインタフェー
ス名
説明: DNSサーバへアクセスできるホストを設定します
デフォルト値: any
攻撃はPPインターフェイスや、特定LANインターフェイスからやってくるでしょ。
それらのインターフェイスって、普通は動的フィルタかけているだろうから、
外部からDNSアクセスなんてあるのかな。
それに今は、外部UDPポート番号が推測されないように工夫されていると聞くし。 >>147
ちなみに、メモリリークなどを恐れて、
毎晩、スケジュールrestartかけている。
動的IPアドレスも変更されることも都合が良い。 >>151
なにも1IP前提で使うとは限らないでしょ >>151
>それに今は、外部UDPポート番号が推測されないように工夫されていると聞くし。
なんか壮大な勘違いをしていない? 基礎の知識すらないなら大人しくバッファローやNECのルーター使ってたほうがいいよw
素人が設定したルーターほど危険で迷惑なものはない >>151
動的フィルタじゃなくて、静的フィルタ。 >>147が>>151だったら、それは自分の設定のせいかもしれんね。 >>155
いや、多分あなたが勘違いしている。
調べてみて。
クライアントがDNSサーバにアクセスするときのクライアント側ポートは固定されていない。
そのポートが攻撃されると言う話。 >>157
159の話だから、動的フィルタで良い。
このスレ、レベル落ちたな、 >>159
そもそも、DNSサーバーへのアクセスの話から、なぜクライアントへの攻撃に話が変わっているのか。 >>159
クライアントの話に替わったとしても
待ち受けしてないポートがなぜ攻撃される対象になる 取説通りなら
・srcportを53を含まない範囲に設定
・外側any→内側53を静的フィルタで落とす
・内側any→外側53をダイナミックフィルタで落とす
でいいと思うんだが… ダイナミックフィルタで落とす→ダイナミックフィルタで必要な時だけ開ける
だった。 DNSクライアントのポートランダマイズはキャッシュポイズニング対策 ルーターの話になんでDNSが出てくるのか意味不
DNSサーバーの話するなら別でしてくれ >>165
言っていることわかった
丁寧にありがとう
>>167
わざわざRTXをDNSサーバー代わりに使うなんて変態のすることだよね
静的フィルタでわざわざIN方向UDP53へのアクセスをpassさせるやつはおかしい なるほど
ヤマハ自身がその変態設定を設定例に載せてるのはさすがヤマハと言ったところか RTXをDNS(リカーシブ)サーバー兼用で使う奴のことでしょ
あんなものは個人ユーザー向けのおまけ機能
まともな管理者ならローカルにDNSサーバー建てるでしょ
ルーターはルーター以外の仕事させちゃダメ リカーシブサーバーでの利用なんて個人じゃ普通じゃないの?
RTX1210をリカーシブサーバーにしないと、FQDNルーティングも出来ないし不便。 公開DNSを引くだけなら
ルータのリカーシブサーバー機能だろうが
ローカルDNSを用意しようが
利用者1000人以上の環境でもなきゃ
性能的にもセキュリティ的にも大差無い リカーシブサーバーを内向きの機能。
よって最初から外向けに使うかどうかは議論になっていない。
文脈を読むとはこういうことだ。 そもそも、>>151がDNSの動作をよく知らないのに知ったかぶりをしたのが原因。 DNSだろうがtelnetだろうがssdだろうがhttp(WEB設定)だろうが意図せず接続できないように
万が一のミスがおきた場合のデフォ変更だろうと思うんだが >>176
延々と外向けのポート開くか開かないかの話してたと思うんだが、お前のRTXは内側からのポートアクセスブロックしてるのか? >>180
頭悪いねw
>>151
は
dns host any
の設定だと、外部からもRTXのリカーシブサーバーにアクセスできちゃうけどヤヴァくないか?
ということでしょ。
でも普通の人は静的フィルタでLAN外からのRTXへのポート番号53はブロックしているから
特に問題ないということだ。
最初から外部に開放させて使いたいなんて文脈になっていない。
なお、151で動的フィルタの話が出ているが、
RTXがサーバーとして動作する時の話なので、動的フィルタ云々はそもそも話がおかしい。
dny host anyが設定されている限り、外部からRTXのリカーシブサーバーへのアクセスをブロックするためには
絶対に静的フィルタが必要。 そもそも デフォ設定は
dns host lan
でよくね?
dns service recursive もデフォなので
自社のDNSサーバーを公開してて
ルーターの53番ポートへのフィルターかけ忘れる場合もあるしね
ルーターがオープンリゾルバ状態なってても
気付かない人いると思うよ dns host lan
がデフォルトでもいいけど、
インターネットにppではなくlanでつないでいる場合には結局静的フィルタ必要になるから、
セキュリティ的には?という感じもするけど。 >>180
そんな想定は自分の中には一切なかった。
ルータのサーバ機能を外部に公開するのは、VPNくらいでしょう。 >>182
ポートフォワードするから、間違ってルータLanアドレスを指定しない限り、ルータ内サービスは公開することはないよね。
でも、間違ったら大変だね。
>>181
動的フィルタかけていたら、ポートフォワードしない限り、PPインターフェイスからは、
ルータ内部のサービスへアクセスできないよ。 書いていて、PPインターフェイスとLANインターフェイスについて、ルーター内部で提供されているサービスがどう提供されるのか違いがわからなくなってきた。
LANインターフェイスはプライベートアドレスが割り当てられているとして、ルータ内部のサービスへのアクセス制御はIPフィルタで行うのは良いんだが、
PPインターフェイスからのIN方向パケットって、Linuxで言うところのINPUTチェインへは直接流れないんだっけ?
必ず、ポートフォワードでプライベートアドレスへ回す必要があると思ったんだけどな。 >>183
dns host lanN
デフォならlan1でいいかも >>185
動的フィルタとNAT(masquarade)の話を混同してないか? >>188
たしかに、ポートフォワードかつ、静的INフィルタでパスさせないといけないな。
いつもコンフィグを見ながら考えているので、空で文字に考え方を書き起こしてみると、
??みたいな状態になってしまった。 実際のところ、ただインターネットにつなげている場合だけの場合は、IPoEを使っている人限定でv6側だけ気にすればいいよね。 >>190
そういうことだ。
IPv4はNAT(masquarade)をしている限り、あえてport53に対して静的masquaradeをして、さらには静的フィルタはずさなければ
RTXのリカーシブサーバーまではアクセスできないが、
IPv6だとNATがないから、リカーシブサーバーへのアクセスをブロックするには静的フィルタしかない。
上で動的フィルタ云々言っていたやつは知見不足。 >>191
OUT方向の動的パスフィルタは、
静的フィルタでリジェクトされている状態において、
IN方向への通信を限定的に許す。 >>192
そうだけどさ、その話は求められていない。 >>193
静的+動的で意味あるフィルタをかんたんに作成できる。 >>194
それで?
その話は一連の流れとどう関連が? しかし、動的フィルタって、wwwとかudpとか色々あるものの、
YAMAHAの公式には説明ないし、たぶん要らない子なんだよな。
でも、何故かサンプルconfigにはこれらのフィルタ定義がある。
イミフ。 >>197
サンプルconfigは「基本外側から始まるセッションはオールリジェクトで、内側クライアントから
始まるピンポンセッションのみダイナミックで開けなさい」って感じだったような。
dynamicの説明自体は無くもないんだが、通常用途での使い方は簡易すぎて見落としがち。 tcpとudpだけの記述でいいような気もするけど
他のプロトコルも必要なんかね
ftpは特殊だから必要かもしれんけど >>199
「提供したいサービスだけをダイナミックで開き、それ以外のtcp・udpはすべて弾く」っていう設定を
ある程度簡易に設定できるようにするためじゃないかな?
www,pop,smtpなんかはいちいちdynamic用フィルタセット組んでどうこうなんてめんどくさいし。 ■ このスレッドは過去ログ倉庫に格納されています