YAMAHA業務向けルーター運用構築スレッドPart23
■ このスレッドは過去ログ倉庫に格納されています
つまりYAMAHAを使ってないと自己申告してるんだよ 設計、品質管理は日本でしょ? 日本製でも間違ってはいない。 全行程日本でやったら純国産とか純日本製って感じかな。 ciscoもnexsus以外は中国とかでつくっているはず 設計、品質管理をやってもハードウェア製品はMade in Japanとはならんぞ。Ciscoは普及価格帯は中国製が多いね。 Twitterに1220の妄想写真出てたな 10Gポート付いてた INS64とかフレッツとかNTTの通信サービスに合わせて発展してきた歴史があるから フレッツ10Gに対応した機種は出すだろうな でも1000BASE-T対応って結構遅かったよな RT58iは絶対ギガ対応になるとかここで妄想してたような・・・ 結局しびれ切らしてRTX1200買ってしまった 今のARMを早いのに変えるだけで10Gbps対応出来るのかね? 別ハードにしてくれても良いんだけど、それだと開発遅れそう >>112 アライドテレシスって、 新井度とか言う人が創業者だとか? オシャレな名前なので、海外かと。 >>123 それ面白いと思って言ってるなら黙ってたほうがいい人だね君はw >>124 ネットワーク技術者なのに新井戸氏を知らないお前の方が黙っとけ 俺はアンガマンバス出身者しか認めん つかみんなどこ行ったんだ 人は氷ばかり掴む FWX120だけでもいいからMAP-E対応アップデートしてくれんかねえ 2010でポートVLAN組むだけだったのに ポート2以降からネットにでれなくって 3時間もかかっちゃった dns host any が抜けてるのに気づかなかっただけでした チャンチャン たま〜〜にしかやらないと 忘れるな・・・ 逆に現場で8.8.8.8でテストしてて通ったからそのまま本番に入れてネット止めた男もいますよ ネットは止まらんよな普通。社内引けなくなるとか認証出来なくなったなら判る 8.8.8.8と8.8.4.4と1.1.1.1だな テスト用と本番用で別系使ってて本番用系の最上位ルータが外部の53から内部のDNSキャッシュ以外に来るパケを無条件で弾き飛ばしてたとか? dns host any なんてあったっけ? なんだろうと記憶をさらってみると、 telnetd host any httpd host any なら覚えていた。 dns host any ってデフォルトで入ってないの? >>144 RTX1210だけど、 半年ほど最新ファームで運用していて、 この間、PCからRTX1210のリカーシブDNSに対して引けなくなったなあ。 ネットワーク大規模ダウンかと思ってかなり焦った。 RTX1210の再起動で治った。 原因不明で突如問題発生というのが怖いわ。 このとき、CPU使用率も平常だったし、RTX自体の問題だとは気づけなかった。 とりあえず復旧を急ぐ必要があったので、再起動したため、原因は不明のまま。 また同じ問題が起きるかもと警戒している。 げ、なんだよそれ fqdnルーティング最近導入したばっかなんだが >>147 ファームのバージョンくらい出せない? 最新ファームで半年と言われてもいつの最新か分からん。 >>146 昔はdns host anyがデフォだったよ オープンリゾルバ状態だとDDNS攻撃に使われるなどを考慮してanyではなくなったよ >>150 RTX1210 Rev.14.01.34で、dns host のデフォルト値調べたら、anyだった。 > dns host ? 入力形式: dns host any dns host none dns host lan dns host 始点 [始点...] 始点 = IPアドレスの範囲またはLAN, VLAN, WAN, BRIDGEインタフェー ス名 説明: DNSサーバへアクセスできるホストを設定します デフォルト値: any 攻撃はPPインターフェイスや、特定LANインターフェイスからやってくるでしょ。 それらのインターフェイスって、普通は動的フィルタかけているだろうから、 外部からDNSアクセスなんてあるのかな。 それに今は、外部UDPポート番号が推測されないように工夫されていると聞くし。 >>147 ちなみに、メモリリークなどを恐れて、 毎晩、スケジュールrestartかけている。 動的IPアドレスも変更されることも都合が良い。 >>151 なにも1IP前提で使うとは限らないでしょ >>151 >それに今は、外部UDPポート番号が推測されないように工夫されていると聞くし。 なんか壮大な勘違いをしていない? 基礎の知識すらないなら大人しくバッファローやNECのルーター使ってたほうがいいよw 素人が設定したルーターほど危険で迷惑なものはない >>151 動的フィルタじゃなくて、静的フィルタ。 >>147 が>>151 だったら、それは自分の設定のせいかもしれんね。 >>155 いや、多分あなたが勘違いしている。 調べてみて。 クライアントがDNSサーバにアクセスするときのクライアント側ポートは固定されていない。 そのポートが攻撃されると言う話。 >>157 159の話だから、動的フィルタで良い。 このスレ、レベル落ちたな、 >>159 そもそも、DNSサーバーへのアクセスの話から、なぜクライアントへの攻撃に話が変わっているのか。 >>159 クライアントの話に替わったとしても 待ち受けしてないポートがなぜ攻撃される対象になる 取説通りなら ・srcportを53を含まない範囲に設定 ・外側any→内側53を静的フィルタで落とす ・内側any→外側53をダイナミックフィルタで落とす でいいと思うんだが… ダイナミックフィルタで落とす→ダイナミックフィルタで必要な時だけ開ける だった。 DNSクライアントのポートランダマイズはキャッシュポイズニング対策 ルーターの話になんでDNSが出てくるのか意味不 DNSサーバーの話するなら別でしてくれ >>165 言っていることわかった 丁寧にありがとう >>167 わざわざRTXをDNSサーバー代わりに使うなんて変態のすることだよね 静的フィルタでわざわざIN方向UDP53へのアクセスをpassさせるやつはおかしい なるほど ヤマハ自身がその変態設定を設定例に載せてるのはさすがヤマハと言ったところか RTXをDNS(リカーシブ)サーバー兼用で使う奴のことでしょ あんなものは個人ユーザー向けのおまけ機能 まともな管理者ならローカルにDNSサーバー建てるでしょ ルーターはルーター以外の仕事させちゃダメ リカーシブサーバーでの利用なんて個人じゃ普通じゃないの? RTX1210をリカーシブサーバーにしないと、FQDNルーティングも出来ないし不便。 公開DNSを引くだけなら ルータのリカーシブサーバー機能だろうが ローカルDNSを用意しようが 利用者1000人以上の環境でもなきゃ 性能的にもセキュリティ的にも大差無い リカーシブサーバーを内向きの機能。 よって最初から外向けに使うかどうかは議論になっていない。 文脈を読むとはこういうことだ。 そもそも、>>151 がDNSの動作をよく知らないのに知ったかぶりをしたのが原因。 DNSだろうがtelnetだろうがssdだろうがhttp(WEB設定)だろうが意図せず接続できないように 万が一のミスがおきた場合のデフォ変更だろうと思うんだが >>176 延々と外向けのポート開くか開かないかの話してたと思うんだが、お前のRTXは内側からのポートアクセスブロックしてるのか? >>180 頭悪いねw >>151 は dns host any の設定だと、外部からもRTXのリカーシブサーバーにアクセスできちゃうけどヤヴァくないか? ということでしょ。 でも普通の人は静的フィルタでLAN外からのRTXへのポート番号53はブロックしているから 特に問題ないということだ。 最初から外部に開放させて使いたいなんて文脈になっていない。 なお、151で動的フィルタの話が出ているが、 RTXがサーバーとして動作する時の話なので、動的フィルタ云々はそもそも話がおかしい。 dny host anyが設定されている限り、外部からRTXのリカーシブサーバーへのアクセスをブロックするためには 絶対に静的フィルタが必要。 そもそも デフォ設定は dns host lan でよくね? dns service recursive もデフォなので 自社のDNSサーバーを公開してて ルーターの53番ポートへのフィルターかけ忘れる場合もあるしね ルーターがオープンリゾルバ状態なってても 気付かない人いると思うよ dns host lan がデフォルトでもいいけど、 インターネットにppではなくlanでつないでいる場合には結局静的フィルタ必要になるから、 セキュリティ的には?という感じもするけど。 >>180 そんな想定は自分の中には一切なかった。 ルータのサーバ機能を外部に公開するのは、VPNくらいでしょう。 >>182 ポートフォワードするから、間違ってルータLanアドレスを指定しない限り、ルータ内サービスは公開することはないよね。 でも、間違ったら大変だね。 >>181 動的フィルタかけていたら、ポートフォワードしない限り、PPインターフェイスからは、 ルータ内部のサービスへアクセスできないよ。 書いていて、PPインターフェイスとLANインターフェイスについて、ルーター内部で提供されているサービスがどう提供されるのか違いがわからなくなってきた。 LANインターフェイスはプライベートアドレスが割り当てられているとして、ルータ内部のサービスへのアクセス制御はIPフィルタで行うのは良いんだが、 PPインターフェイスからのIN方向パケットって、Linuxで言うところのINPUTチェインへは直接流れないんだっけ? 必ず、ポートフォワードでプライベートアドレスへ回す必要があると思ったんだけどな。 >>183 dns host lanN デフォならlan1でいいかも >>185 動的フィルタとNAT(masquarade)の話を混同してないか? >>188 たしかに、ポートフォワードかつ、静的INフィルタでパスさせないといけないな。 いつもコンフィグを見ながら考えているので、空で文字に考え方を書き起こしてみると、 ??みたいな状態になってしまった。 実際のところ、ただインターネットにつなげている場合だけの場合は、IPoEを使っている人限定でv6側だけ気にすればいいよね。 >>190 そういうことだ。 IPv4はNAT(masquarade)をしている限り、あえてport53に対して静的masquaradeをして、さらには静的フィルタはずさなければ RTXのリカーシブサーバーまではアクセスできないが、 IPv6だとNATがないから、リカーシブサーバーへのアクセスをブロックするには静的フィルタしかない。 上で動的フィルタ云々言っていたやつは知見不足。 >>191 OUT方向の動的パスフィルタは、 静的フィルタでリジェクトされている状態において、 IN方向への通信を限定的に許す。 >>192 そうだけどさ、その話は求められていない。 >>193 静的+動的で意味あるフィルタをかんたんに作成できる。 >>194 それで? その話は一連の流れとどう関連が? しかし、動的フィルタって、wwwとかudpとか色々あるものの、 YAMAHAの公式には説明ないし、たぶん要らない子なんだよな。 でも、何故かサンプルconfigにはこれらのフィルタ定義がある。 イミフ。 >>197 サンプルconfigは「基本外側から始まるセッションはオールリジェクトで、内側クライアントから 始まるピンポンセッションのみダイナミックで開けなさい」って感じだったような。 dynamicの説明自体は無くもないんだが、通常用途での使い方は簡易すぎて見落としがち。 tcpとudpだけの記述でいいような気もするけど 他のプロトコルも必要なんかね ftpは特殊だから必要かもしれんけど >>199 「提供したいサービスだけをダイナミックで開き、それ以外のtcp・udpはすべて弾く」っていう設定を ある程度簡易に設定できるようにするためじゃないかな? www,pop,smtpなんかはいちいちdynamic用フィルタセット組んでどうこうなんてめんどくさいし。 >>199 それ、自分も思った。 それから、動的フィルタをかけるインターフェイスによって挙動が違うかもしれないという印象も持っている。 PP(プロバイダ)のインターフェイスで、 内向きオールリジェクト+外向き動的パスtcp,udpだとなんの問題もなかったのに、 LANインターフェイスで、外向きオールリジェクト+内向き動的パスtcp,udpを追加すると、 一部のアプリの通信が失敗するようになった。 このアプリは、さっきのPPも通じてインターネット側と通信しているので、PPにおいてのそのフィルタでは問題がなかったのだ。 その件以来、LANインターフェイスで内向きに動的フィルタをかけるときは注意している。 (PPと、LANインターフェイスとで、内向き、外向きが反対になることは考慮済み) >>202 tcp/udpだけじゃなくwwwとかftpでもそれ同じような経験した事ある > RTX1210 自分が動的フィルタを理解してないからだろうとその場は収めたけど 外向きと内向きで動作が微妙に違ってくるのだろうか?? >>202 そのLANインターフェースはいわゆるWAN側?それともLAN側? >>202 PPとLANで内向き外向きが反対になるのはなんでだっけ? >>206 「外向き」「内向き」の意味がルータから見た方向だからでしょ YAMAHAは「WANは外側」「LANは内側」という概念じゃないから >>205 LANインターフェイスは、LAN1のことで、LAN側ですよ。 >>206 内向き、外向きというのは、ルーターから見てどっちかということ。 ルーター内に入る方を内向き。ルーターから出る方を外向き。 だから、PC→LAN(ルーター)PP→インターネットのフローでは、 LANとPPとでは向きが変わってくる。 >>207 >>208 とは別人です。 1分違いで同じ解答とはな。めずらしい。 IDださなあかんな。 >>204 よく読んでくれてありがとう。 動的フィルタをかけるインターフェイス(LANインターフェース、PPインターフェース) で違いがあるのか、 内向き、外向きで違いが出てくるのか、よくわかっていません。 >>208 LANにフィルターをかけるのは、LAN2がインターネット側につながっているときは LAN2に設定するのが普通だと思うけど。 >>211 それを判った上でLAN側にフィルタをつけたいって事でしょ なんでそうしたいかって話は別の話題だからそこまで持ち出す必要はないけど 要は同じフィルタを外向きで設定したときと内向きで設定したときの動作が何故変わるのか疑問があるという話だと 動的フィルタのプロトコル毎の動作を詳しく説明してるページってなかったよね(見つけてないだけかもww) そういうページがあれば内向き外向きについても解説してるかも・・とか思うけれど ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる