YAMAHA業務向けルーター運用構築スレッドPart16

1 ：RTXXXXX：2015/07/19(日) 03:39:26.74 ID:???.net

【お約束】
ここはYAMAHAルーターで小規模〜大規模のネットワークを
構築、運用する人のための情報交換スレッドです。

ネットボランチシリーズ(コンシューマー向け)、業務用向け機器でもYAMAHAルーターの
設定方法、YAMAHAルーターの使い方などハードウェア寄りの話題は関連スレへ

【公式サイト】
RTXシリーズルーター
http://jp.yamaha.com/products/network/routers/
RTpro - ヤマハネットワーク周辺機器 技術情報ページ
http://www.rtpro.yamaha.co.jp/
ヤマハネットワーク機器
http://jp.yamaha.com/products/network/

【関連スレ】
YAMAHAヤマハブロードバンドルーターpp select 20
http://peace.2ch.net/test/read.cgi/hard/1418612262/


【過去スレ・前スレ】
YAMAHA業務向けルーター運用構築スレッドPart15
http://hayabusa6.2ch.net/test/read.cgi/network/1417444171/


【こちらもよろしく(^_^)/】
IPの敵！ファックスを廃止に追い込むネガティブキャンペーン（ファックスは負の遺産【全廃まで継続】）
http://hayabusa6.2ch.net/test/read.cgi/network/1436976836/

143 ：anonymous：2015/09/12(土) 09:36:02.61 ID:???.net

>>141
httpd host 10.0.0.1-10.0.0.31 172.16.0.1-172.16.0.15 192.9.200.1-192.9.200.15
じゃだめ？

144 ：anonymous：2015/09/12(土) 16:48:36.45 ID:???.net

>>143
わー！ありがとうございます。
代わりに、それを使います！

145 ：anonymous：2015/09/12(土) 17:42:59.65 ID:???.net

現行スレ
YAMAHA業務向けルーター運用構築スレッドPart16　＠2ch.net
http://hayabusa6.2ch.net/test/read.cgi/network/1437273466/

146 ：anonymous：2015/09/12(土) 19:59:09.67 ID:???.net

>>141
>面倒くさい。（あっそう

察した

147 ：anonymous：2015/09/12(土) 20:09:33.27 ID:???.net

>>123
>ヤマハの営業にこの辺聞くと、基本的にNATでRejectしたほうがCPUパワー使わないからオヌヌメとかなんとか。
>フィルターはそこそこ頭使うらしい。

nat descriptor masquerade incomingを、Reject（初期値）にしておいて、
FILTER（静的、とくに動的なやつ）を動作させないようにすると良いのかもしれないね。

すると、ふつうのIPv4のネット接続の場合は、NAPTが掛けられているだろうから、良いと思うけど、（あと、タイマーを短くしてテーブルを消してしまおう）
しかし、IPv6の場合だと、NATなしで、動的フィルタで防御するだろうから、
CPUパワー食うことになるよな。
NATを使わないようになっていくということは、ちょっともったいないね。

148 ：anonymous：2015/09/12(土) 20:22:27.48 ID:???.net

INPUTチェインって一般的なワード？

149 ：anonymous：2015/09/12(土) 20:31:27.96 ID:???.net

LINUXのフィルタリングを理解するために必要な、ヤマハルーターより抽象的なフィルタリングポイントである

150 ：anonymous：2015/09/12(土) 20:36:10.27 ID:???.net

>>148
椿本グループみたい
linuxのiptableあたりでよく出てくるよね。

151 ：anonymous：2015/09/12(土) 20:36:30.90 ID:???.net

>>148
LINUX（CENTOS 6以前とか）を使っている人だと良く知られたワードだよ。

LINUXもヤマハルーターのようにルーターとして動作するんだけど、フィルタをかける場所が、
インターフェイスではなくて、INPUT、OUTPUT、FORWARDなど少々抽象化されたものになっているんだ。

そのうちのINPUTは、LINUX自身へのパケットの流入をコントロールするポイントになっている。
ヤマハルーターのパケットの流れに重ねて言えば、ヤマハルーターのGUIへのアクセス経路の途中に成立するはずだよ。

152 ：anonymous：2015/09/12(土) 20:39:18.45 ID:???.net

ファイアウォールの世界だよなそれ

153 ：anonymous：2015/09/12(土) 20:41:57.46 ID:???.net

>>152
なんか、厳密には違ってましたっけ

154 ：anonymous：2015/09/12(土) 20:56:16.75 ID:???.net

２０年ぐらい前ipfw使ってた当時のLINUXのフィルターは糞って認識しかしてなくて
それ以来触ってない
ヤマハでもRDRが使えたらと何度思ったことか

155 ：anonymous：2015/09/12(土) 22:00:52.64 ID:???.net

>>154
20年認識が止まってるて色々大丈夫？使えないおじさんほど哀しいもの無いよ

156 ：anonymous：2015/09/12(土) 22:04:20.33 ID:???.net

>>154
シスコ派
RDRとは、ネットワークトラフィック分析＆レポート機能ってことであってますか。

linuxにも似たような機能が、iptablesコマンドで設定できたよね。
その機能を使ってバルーンが膨らんで割れるとブロックするとかもできたと思う。

ヤマハルーターには、そういうトラフィックをくどくど読んでbanするような機能ってないよなあ。

157 ：anonymous：2015/09/12(土) 22:04:43.27 ID:???.net

BSDで事足りるし
RTも使いやすいしそれで大丈夫だからね

158 ：anonymous：2015/09/12(土) 22:10:45.94 ID:???.net

>>157
Linuxしかつかったことないんですが、
BSDというと、UNIXですよね。むつかしい印象です。
安定性が高いから仕事で使っているとかなんですか？
使ってやろうという気になったことないです。

159 ：anonymous：2015/09/12(土) 22:12:45.85 ID:???.net

BSDがUNIXなら、Mac OS X is UNIXになっちゃうよ

SRT100とかFXWのフィルタルールが独特すぎて何度か客先通ったっけ

160 ：anonymous：2015/09/12(土) 22:16:58.03 ID:???.net

>>159
ここ、参考にしました。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1072334910

FXWってなんでしたっけ？

インターフェイスに掛ける点ですか？

161 ：anonymous：2015/09/12(土) 22:20:46.90 ID:???.net

BSDはUNIX

162 ：anonymous：2015/09/12(土) 22:23:54.98 ID:???.net

開発者に保守派が多いというBSDだから、
ネットワーク系の処理も信頼が置かれているのかなと思った。
組み込みにもBSDが使われているんだと知った。知らなかったな。じゃあ、ヤマハのも？

163 ：anonymous：2015/09/12(土) 23:58:40.57 ID:???.net

組込だと会社のコピー機のOSがNetBSDだな

164 ：anonymous：2015/09/13(日) 05:53:31.53 ID:???.net

SRT100はコンフィグ開くと初見で固まる。
正直なにがなんだかわからん。
設定例とか見てもなぜかGUIが多いからGUI推奨なアトモスフィアめいてる。
ただ、よくよく読み解くとなるほどなと思う。
RTXと処理が違うんだっけ。

165 ：anonymous：2015/09/13(日) 06:02:39.35 ID:???.net

　　　　　　r;ｧ'N;:::::::::::::,ｨ／　　　　　 >::::::::::ヽ
.　　　 　 〃　　ヽﾙ1'´　　　 　 　 ∠:::::::::::::::::i
　　 　 　 i′　　___,　-　,. = -一　 ￣ｌ:::::::::::::::ｌ
.　　　　　 ! , -＝=､´r'　　　　　　　 　 l::::::/,ﾆ.ヽ
　　　　　　ｌ　　　　　　　　_,, -‐''二ゝ　 ｌ::::l fﾞヽ |、 ここはお前の日記帳じゃねえんだ
　　　 　 　 ﾚー-- ､ヽヾﾆ-ｧ,ﾆ;＝、_　　 !:::l ） } ト
　　　　　　 ヾ¨'７"ry､｀ 　 ｰﾞ='ニ,,,｀　 　 }::ヽ(ノ 　チラシの裏にでも書いてろ
:ｰゝヽ､ 　 　 !´ "￣ 'l,;;;;,,,.、　　　　　　　,i:::::::ﾐ
::::::::::::::::ヽ.-‐ ﾄ、　r'_{　　 __)｀ニゝ、　 ,,iﾘ::::::::ﾐ
::::::::::::::::::::Vi／l:::V'´;ｯ`ﾆ´ｰ-ｯ-,､:::::`"::::::::::::::;ﾞ　, 　な！
:::::::::::::::::::::::::N. ﾞ､::::ヾ,.｀二ﾆ´∠,,.i::::::::::::::::::::/／／
:::::::::::::::::::::::::::::l　ヽ;:::::::::::::::::::::::::::::::::::::::::::／　／
::::::::::::::::::::::::::::::!　:|.＼;::::::::::::::::::::::::::::::／　／

166 ：anonymous：2015/09/13(日) 09:24:28.48 ID:???.net

>>164
コンフィグ見ようとするとフリーズするのは、さすがに壊れてしまっているんでは？
GUI以外の方法で、TELNETでアクセスして、show config　とかしたの？

167 ：anonymous：2015/09/13(日) 09:30:08.63 ID:???.net

>>159
×　fxw
○　fwx

一文字間違った状態でぐぐっても全く出てこないから、びっくりした。あんまり知名度高くないようだな。

168 ：anonymous：2015/09/13(日) 09:37:49.31 ID:???.net

>>162
yamahaはわからんけどJuniperなんかはFreeBSD使ってるね

169 ：anonymous：2015/09/13(日) 10:22:43.83 ID:???.net

>>166
いやいやそういう意味じゃないと思う
＞secure filter in 1 2 [1024 [1025 1026 [11 12]] 1027] 3 4
みたいなのが溢れてて一見すると固まるぜ

GUIの方には番号一切出てこないし遮断してんだか疎通してんだかわかんねーし

170 ：anonymous：2015/09/13(日) 10:28:35.09 ID:???.net

>>167
ここ購買担当者多そうだからPRしておくね
RTX810はVPNトンネル最大6だけどFWX120はVPNトンネル最大30

このトラップで失敗してRTX1200を泣く泣く手配した人もいるはずだけど、実はFWX120で足りるんだわ

171 ：anonymous：2015/09/13(日) 12:45:24.77 ID:???.net

NVR500/FWX120使ってるけど、FWX120は実はルーターとしてもかなり使える奴だ
という事実は意外と知られていない

172 ：anonymous：2015/09/13(日) 14:43:47.82 ID:???.net

>>166
そういう意味じゃない(´・ω・`)
正直最初は理解が追いつかない。

>>169
そうなんだよね。。。
RTXのつもりで触るとひどい目に遭う。

173 ：anonymous：2015/09/13(日) 18:00:24.42 ID:???.net

>>169
あ、そういうことかw

174 ：anonymous：2015/09/13(日) 18:24:34.98 ID:???.net

>>170
>FWX120は実はルーターとしてもかなり使える奴

http://jp.yamaha.com/products/network/firewalls/fwx120/

統計機能に惹かれた。いったいどういう使われ方をしているのか、わかりやすく表示されるのはいいな。

あと、それと、
「監視機能」も面白そう。
（運用中に攻撃者による侵入行為や攻撃行為をモニタリングします。）

いままでは、ログのrejectフィルタで、ひっかかってくるやつをピックアップしてみるくらいだけど、
わかりやすくみられるのなら試したいと思った。

ただ、GUIで設定する必要があるなら、設定し忘れがありそうで怖いな。
RTX1100なんかのコンフィグファイルベースの設定だと、慣れているからなあ。

GUIで設定したら、GUIが対応できる範囲の設定パターンにする必要がある場合、
ずっとGUIで設定し続けないといけないことになるのなら躊躇するなあ。

175 ：anonymous：2015/09/13(日) 18:37:18.98 ID:???.net

>>169
SRT100って、RTXとコンフィグの書き方が違ってそうだけど、
（たぶん、ファイアウォール部分 secure filter だけだと思うけど）
FWX120も、同じ記述を継承している？

secure filterと、ip filterって、どう違うんだろ。

176 ：anonymous：2015/09/13(日) 18:40:34.86 ID:???.net

《プレミアム会員の主な特典》
★ 2ちゃんねる専用ブラウザからの広告除去
★ 2ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────

会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。

▼ プレミアム会員登録はこちら ▼
http://premium.2ch.net/

177 ：anonymous：2015/09/13(日) 19:16:19.60 ID:???.net

>>175
調べたけど、俺が勘違いしてた。
質問（secure filterと、ip filterって、どう違うんだろ。 ）を取り下げます！

でも、FWXは、面白そうだな。
透過型ファイアウォールを使えば、拠点のパケットをセンターに集めてきて、
そこでまとめて制御することもできそうなのかなと思った。

ただ、センター側ルーター自身で、拠点とのトンネルと、インターネットへのPPPoEとをつなぐから、
いくら透過型とは言っても、FWXを挟みようがないんだな。

178 ：anonymous：2015/09/13(日) 20:48:04.40 ID:???.net

>>177
わりい。おれもいま手元にSRT100のCONFIGないからなんとなくで書いてるだけなんだ。
実際のを貼り付けたかったんだが、マジでこんなのが出てくるから混乱するよ
10 [1 2 [3 4] 5] 11
のネストの意味が見えてくるまで少し時間がかかる

179 ：anonymous：2015/09/13(日) 23:08:49.02 ID:???.net

SRTとFWXはpolicy filterで動的フィルターしか無い感じ
RTXはsecure filterで静的フィルターメインな印象

180 ：anonymous：2015/09/14(月) 02:59:43.18 ID:???.net

>>170
ただ、RTXからの乗り換えはちょっとつらいと思うし、ファイアウォールとして使わないとすると総合的な性能は微妙。
そんなわけで、FWXにあったダッシュボード機能を継承しつつ既存ルーターの置き換えに最適なRTX1210をお勧めしたい。

181 ：anonymous：2015/09/14(月) 08:15:14.43 ID:???.net

>>179
静的フィルターもあるでそ＞FWX120

182 ：anonymous：2015/09/14(月) 08:17:00.68 ID:???.net

RTX1210いいんだけど、LANポートが全面ってのが個人的には減点ポイントなんだよなぁ
業務用は全面が普通だろうけど、このクラスまではポートは背面にあって欲しかった

183 ：anonymous：2015/09/14(月) 08:17:24.79 ID:???.net

×全面
○前面

184 ：anonymous：2015/09/14(月) 10:52:41.35 ID:???.net

>>182
前面だとなぜ不便になりますか？
ネットギアのハブも前面だったので、バッファロのハブからの変更では、LAN配線が手間取ったけどな。
前面にあったほうが、収納棚に入れた時に、配線とステータスLEDが両方見えて、便利だと思うんだが。

185 ：anonymous：2015/09/14(月) 10:54:49.30 ID:???.net

>>182
RTX1210って、十分業務用じゃんか
少なくとも、プロバイダ用ではないと思うけど。
霞が関ビルの接続くらい、かろうじて一台で賄えるんじゃないか。

186 ：anonymous：2015/09/14(月) 10:58:24.68 ID:???.net

まぁ前面にするのは、大抵ラックマウントの事考慮してるからだと思うが、
その辺は企画時にどっちに重点置くかって問題だしな。
そっちの要望が大きかったんじゃないの。

187 ：anonymous：2015/09/14(月) 10:59:14.31 ID:???.net

>>180
RTX系（RTX1000〜）をずっと使って来たという人なら、
FWXは傍流のように感じるんだろうな。
RTX1210の次くらいで、FWXとの統合が果たされてほしいね？

188 ：anonymous：2015/09/14(月) 11:24:06.14 ID:???.net

>>187
透過型ファイアーウォールのFWXと、ルーター機能のRTXとでは、
思想が異なるので、統合は無理っぽいと思った。
木に竹はつげないね。

ポリシー型フィルターも、純粋なルーター機能への妨げになるかもしれないからなあ。

それを考えたら、LINUXは、自身でサーバーも動作させないといけないので、
INPUTチェインなんかも必要になってくるわけだね。純粋なルーターとは違うわけだ。

189 ：anonymous：2015/09/14(月) 11:26:03.97 ID:???.net

>>186
たしかに、たんに机の上に置くだけだったら、
前面にあるととってもジャマになる

190 ：anonymous：2015/09/14(月) 12:55:51.73 ID:???.net

環境はRTX1200（最新ファーム:Rev.10.01.53）で、L2TP/IPsecを、Windows 8.1から使っています。
問題なく認証、通信できていました。

ところがトンネルを経て通信最中に、ベースのwifiも、VPNも切断しないで、Windowsをシャットダウンしたら、
以後、Windowsを再起動しても、同様の手順でVPNをつなごうとしても、応答されなくなってしまいました。
同様の経験あるかたいらっしゃいますか。
たぶん、RTX1200が、IPsec処理で戸惑っているのではないかと思うんですが。
この不具合って、確か解消されたはずだと思っていたんですが。

191 ：hage：2015/09/14(月) 13:12:45.85 ID:???.net

魔法のおまじない
ipsec auto refresh on
は書いてある？

192 ：anonymous：2015/09/14(月) 16:54:09.13 ID:???.net

>>191
レスありがとうございます。

PPにバインドしているトンネル設定には、
ipsec auto refresh onがありました。
なんかの拍子でリフレッシュされない状態になったんでしょうか。

追伸：別のトンネル定義なんですが、ipsec auto refresh onが抜けているものがあるのを発見！
いつもルーターの再起動のたびに、拠点と接続できなくなっていました。
でも、今回の問題には見当たりませんでした。

193 ：anonymous：2015/09/14(月) 17:15:08.97 ID:???.net

ログをみたら、たぶん、設定の問題ではない感じがした。

最初、問題なく接続できた。
11:27:05: [IKE] respond ISAKMP phase to
11:27:07: [IKE] respond IPsec phase to
11:27:07: IP Tunnel[] Up
11:27:07: [L2TP] TUNNEL[] connected from
11:27:07: [L2TP] TUNNEL[] tunnel 42**7 established
11:27:07: [L2TP] TUNNEL[] session 3*8*8 established
11:27:10: PP[ANONYMOUS] Call detected from user
11:27:10: PP[ANONYMOUS] PPP/IPV6CP up
11:27:11: PP[ANONYMOUS] PPP/IPCP up (Local:, Remote:)

★このトンネルとは関係ない別のトンネルの複数の再構築作業の割り込みがあったようだ（これが怪しい）
11:58:05: [IKE] respond ISAKMP phase to
12:01:32: [IKE] respond ISAKMP phase to
12:01:37: [IKE] respond ISAKMP phase to
12:01:56: [IKE] respond IPsec phase to
12:03:17: [IKE] respond ISAKMP phase to
12:03:28: [IKE] respond IPsec phase to
12:04:04: [IKE] respond IPsec phase to
12:04:16: [IKE] respond ISAKMP phase to
12:04:50: [IKE] respond ISAKMP phase to
12:05:49: [IKE] respond IPsec phase to
12:05:50: [IKE] respond IPsec phase to
12:06:05: [IKE] respond IPsec phase to

194 ：anonymous：2015/09/14(月) 17:16:43.78 ID:???.net

たぶん、ここでPCをシャットダウンしたのではないかと思う。（ちゃんとディスコネクト処理されている！）
12:09:05: [L2TP] TUNNEL[] disconnect session 3*8*8 complete
12:09:05: [L2TP] TUNNEL[] disconnecting tunnel 42**7
12:09:05: [L2TP] TUNNEL[] disconnect tunnel 42**7 complete
12:09:05: [IKE] initiate informational exchange (delete)
12:09:05: same message repeated 1 times
12:09:05: IP Tunnel[] Down
12:09:09: [IKE] initiate informational exchange (delete)
12:09:16: [IKE] respond ISAKMP phase to
12:09:17: [IKE] respond IPsec phase to
12:09:17: IP Tunnel[] Up

再び接続しようとしても応答しなかった。
12:13:21: [IKE] initiate informational exchange (delete)
12:30:16: same message repeated 17 times　　　　　　　　★怪しい
12:30:23: [IKE] initiate informational exchange (delete)
13:09:13: same message repeated 6 times

195 ：anonymous：2015/09/14(月) 18:12:38.00 ID:???.net

show ipsec saで前のが残ってる？

196 ：anonymous：2015/09/14(月) 19:14:12.06 ID:???.net

>>195
レスをどうもありがとう。

それは気になるところなんだけど、でも症状が起きたとき、直後にはちょっと調べられなかった。（というか、いろいろ調べたくても外部からもはやアクセスできなかった。）
それに何度も発生するわけではない感じなので、
また、ログみて同じようなパターン（＝大量のRespondの発生）のタイミングを見計らって試せればいいかなと思う。

このとき、なんとかアクセスしようとして、症状発生時に別の外部IPv4アドレスからRTX1200にアクセスしても、受け付けてくれなかったと思う。
もちろん同じトンネル。

頻繁に症状が発生する場合にはまた投稿します。

197 ：192：2015/09/14(月) 19:17:49.06 ID:???.net

>>194
>12:13:21: [IKE] initiate informational exchange (delete)
>12:30:16: same message repeated 17 times　　　　　　　　★怪しい

ごめん、これについては怪しくないみたい。
他の日のログを確認したら、けっこうたくさんあった。

198 ：anonymous：2015/09/14(月) 20:43:11.99 ID:???.net

>>184
>>185
>>186
>>189
思いの外反響があってちょっとびっくり
確かにちょっとした規模までなら業務用としても使えるスペックは備えてるから
理解はできるんだけど、一方で本体幅がラックに収めるほどでもないってのと
価格的にもギリ個人用に供するというポジショニングが個人的にとても悩ましい
本体サイズも比較的コンパクトだし、ラックに入れないで机の下や棚とかに
収める場合、背面ポートの方が見た目すっきりまとまっていいんだよなぁ
って思いまして
まあでもやっぱり業務用かなスペック的に
じゃあお前は家で使うとしてRTX1210のスペックをフルに使いきれるような
運用すんのかよ
って言われたらすんませんって感じだしw
ということで駄レス失礼した

199 ：anonymous：2015/09/14(月) 20:56:08.59 ID:???.net

>>196
SSHかPPTPかで入れるようにした方がよくね？

200 ：anonymous：2015/09/14(月) 20:56:52.73 ID:???.net

一時的にて意味でね

201 ：anonymous：2015/09/14(月) 20:59:08.19 ID:???.net

>>198
３点

１、ラックマウントあるよ
２、RTX1100や、RTX1500は、後ろ面だったよね
３、家庭用とはすごいね。ほかに選択肢がなかったのが不思議。NVRとかあると思うけど。

202 ：anonymous：2015/09/14(月) 22:17:30.59 ID:???.net

>>199
SSHポートを外部に開く使い方ってヤマハルーターでも一般的なんですか？
公開鍵認証とかも対応してるのかな。調べたら、http://www.rtpro.yamaha.co.jp/RT/docs/sshd/
”公開鍵暗号方式DSAおよびRSAによるホスト認証 ”いけそうだな。

でもなんでだろう。
IPsecに信頼を置いてしまう。AESだからかな。
SSHの公開鍵方式の暗号強度って大丈夫なのかな。

203 ：anonymous：2015/09/15(火) 10:04:22.69 ID:???.net

《プレミアム会員の主な特典》
★ 2ちゃんねる専用ブラウザからの広告除去
★ 2ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────

会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。

▼ プレミアム会員登録はこちら ▼
http://premium.2ch.net/

204 ：anonymous：2015/09/15(火) 11:27:25.06 ID:???.net

>>202
認証と、暗号化を混同していた。

IPsecでも、公開鍵認証があるくらいだから、
SSHで公開鍵で認証するのも大丈夫だろうという考えに至った。

205 ：anonymous：2015/09/15(火) 11:41:58.30 ID:???.net

SSHDだけでもいいから
sshd host　*.jp　
とかDNS名使えるようになってくれんかな

206 ：anonymous：2015/09/15(火) 12:42:08.55 ID:???.net

>>205
どーゆー意味？

207 ：anonymous：2015/09/15(火) 15:34:36.51 ID:???.net

ip filter でも同様に、

　　ip filter 10 pass .jp * * * *

みたいな記述できるといいね

208 ：anonymous：2015/09/15(火) 15:39:44.14 ID:???.net

それは逆引きが設定されていないIPアドレスからの接続はすべて拒否するってことになるよね？
(興味深いけれど実用性は皆無だと思う)

209 ：anonymous：2015/09/15(火) 15:50:41.76 ID:???.net

IPからドメイン逆引きじゃなくて、cc.wariate.jp みたいな、IPの所有者で割り出す仕組みがないな

210 ：anonymous：2015/09/15(火) 16:28:41.09 ID:???.net

ddnsみたいな場合も無理があるかな？
逆にフィルターに設定されいているFQDNを常に名前解決するような仕組みにして
内部的にはIPアドレスで設定されているのと同じように処理したら良いんじゃないかな

211 ：anonymous：2015/09/15(火) 16:33:44.11 ID:???.net

今日で５回目の訪問
昨日まででとうとう勝率５割越え
実行した者だけが逆玉だね

na＠mo2c※.tokyo/ps1422kzz//a963gzyo.jpeg
＠を取って　※をhに変えて

212 ：anonymous：2015/09/15(火) 16:38:02.13 ID:???.net

FQDNじゃなくて、*.jp と書きたいじゃん

213 ：anonymous：2015/09/15(火) 16:49:46.17 ID:???.net

>>207
フィルターだと逆引きの反応次第では待たされすぎて使い物にならんかもしれん

>>208
通常の国内プロバイダだと逆引きが登録されてないのなんて最近じゃあまりないから
そういうの含めてのセキュリティかな
まぁ国内を踏み台にされてたら意味ないけど
日本の法律が通用するって意味では多少はマシかと

214 ：anonymous：2015/09/15(火) 21:03:06.45 ID:???.net

IPSecでローカルからsshが常識
以上

215 ：anonymous@ngn-west-078-062-060-180.enjoy.ne.jp：2015/09/15(火) 22:15:04.37 ID:???.net

ipsecならtelnetでも良いや

216 ：anonymous：2015/09/15(火) 22:15:17.17 ID:???.net

>>201
RTX1100からの入れ替えで1200にすると設置スペース取るのがなぁ。カウンター下とか酷な環境に置かれてるとこ多いから
結構邪魔。

217 ：ANONYMOUS：2015/09/15(火) 22:17:34.96 ID:???.net

>>214
ただしい日本語でお願いします

意訳すると、
「IPsecを使えば、ローカルからアクセスするのと同じような状態になるから、
そこからsshでヤマハルーターに接続するの常識だ」ということだね。

sshでポート開放なんて非常識だとおっしゃっているんですね。

218 ：ANONYMOUS：2015/09/15(火) 22:18:47.28 ID:???.net

>>216
>1200にすると設置スペース取る

縦に長くなったものな

219 ：anonymous：2015/09/15(火) 23:32:06.37 ID:???.net

１２１０は金属で上開いてるから余計にほこりの多い環境には置きづらくなったし・・

IIJのSA-W1みたいな、無線LAN付いててハブもあって、現場にモノ送って接続するだけで使えるような
そういう製品を出して欲しいなぁって思うわ

220 ：anonymous：2015/09/15(火) 23:44:06.34 ID:???.net

IPSecでも
libwrap的な事はしたい

221 ：anonymous：2015/09/15(火) 23:48:44.73 ID:???.net

>>220
hosts.allow
のこと？

222 ：anonymous：2015/09/15(火) 23:58:46.23 ID:???.net

>>221
そう

223 ：anonymous：2015/09/16(水) 00:32:50.09 ID:???.net

>>217
>sshでポート開放なんて非常識だとおっしゃっているんですね。
この時代、もはやそうだと思いますよ？
もしそこまでして直接ssh接続したいのなら、最低限、22ポート以外に設定することは必要だと私は考えます

224 ：anonymous：2015/09/16(水) 00:35:34.24 ID:???.net

YAMAHAルーター自体にsshポート番号を変更する機能はないかさすがに
であればIPSec等のVPNで接続するのが現実的な解となるでしょうね

225 ：anonymous：2015/09/16(水) 00:46:49.22 ID:???.net

>>224
ポート変えるコマンドあるで

226 ：anonymous：2015/09/16(水) 01:26:55.49 ID:???.net

「sshのポート開放は危ない」
これについて、上の話題に出ていましたがIPsecとSSHと比べて、
安全性にどれくらいの差があると思いますか。
どちらも、ポート番号はウェルノウンですよね。

共有鍵か公開鍵か、IPsecも、SSHも、その選択があるくらいですよね。

たしかに、IPsecの場合、SSHと違って、トンネルがつながってから
実際の通信ができるようになるまでに、やや煩雑な手続きがあると思いますが、
それが攻撃者の避ける理由なんでしょうか。
相手のセキュリティーゲートウェイ内のネットワーク情報も知っていなければ、
通信ができないとか。

227 ：anonymous：2015/09/16(水) 01:58:49.63 ID:???.net

>>226
あなたは質問してるのか間違いだと主張しているのかどっちなの？

228 ：anonymous：2015/09/16(水) 08:59:29.82 ID:???.net

>>227
命題の集まり

229 ：anonymous：2015/09/16(水) 10:31:18.86 ID:???.net

>>227
SSHよりもIPSECが良いと言う根拠を求めているのだと思う

230 ：anonymous：2015/09/16(水) 10:33:26.32 ID:???.net

>>222
むしろたとえLINUXだったとしても、iptablesに書きまとめたい
あっちこっちに制御情報が散ると、管理に抜けが出そうでこわい

231 ：hage：2015/09/16(水) 10:41:31.40 ID:???.net

ヤマハルーターじゃないけど
公開鍵認証だけ有効にしてsshdを22番で公開してるけど
ポート変更なんて意味あるか？

ipsecで500/udpを変更することないし、なんでsshdだけ？って思う

まー、22番に拘る必要もないが、22番以外に拘る必要も同じレベルで、ないと思う

232 ：anonymous：2015/09/16(水) 10:46:08.63 ID:???.net

ポート変えれば安全になるわけでもない
IPSecに未知のセキュリティーホールが絶対にないとは言い切れないし
多層防御という観点で接続元で弾くのは基本だと思うがね

>>230
それでも構わないと思う
ただサーバー運用で考えて
外部との間にはルーターがあるので基本ルーターにフィルタリングさせて
不必要なサービスは動かさない＋tcpwrapperでアプリケーションごとに制御してるようにしてる
その方が負荷も減ると思ってる

233 ：anonymous@pc64e88.sitmnt01.ap.so-net.ne.jp：2015/09/16(水) 10:48:53.77 ID:???.net

>>231
攻撃試行される機会が減る、程度のものだね
やらないよりやった方がよいのは確かだろうけど
アカウントの管理がしっかりしてあるかどうかの方が重要だね

234 ：hage：2015/09/16(水) 10:54:40.79 ID:???.net

どこに載ってたか忘れたけどログを解析した人がいて
80/tcpより8080/tcpへのアタックのほうが多かったって分析してた人がいたな

235 ：anonymous：2015/09/16(水) 20:12:29.96 ID:???.net

8080はなんか大事なサービスを隠してそうだからな

236 ：anonymous：2015/09/16(水) 20:45:01.74 ID:???.net

オープンproxyを探してるのが多いんじゃないの？
あとは簡易WEBサービスとかでろくにセキュリティホール潰してないのがごろごろしてそう

237 ：anony：2015/09/16(水) 21:19:00.58 ID:???.net

ポートスキャンかければsshdのポートがバレるし、普通にスキャンされてると思うけど
22番じゃなかったときのほうが執拗な攻撃を受けそうな気がする

堂々と22番で構えてるところは、よほど自信あるんだろう
番号かえてるとこは、どうせ下らないパスワード認証だろう

そんな風で

238 ：anonymous：2015/09/16(水) 21:42:21.89 ID:???.net

国内に限るフィルタリングって煩雑だろうか。
ネットワークアドレスの指定で、数個の政敵フィルタで済めばいいんだけど、
そうはいかないんだろうな。

それができたら、SSHポートもさぞかし安心のはず。
無駄に世界にオープンにする必要なんてないんだし。

239 ：anonymous：2015/09/16(水) 22:20:40.50 ID:???.net

>>237
いやよほど著名なサイトやサーバーでもないかぎり、デフォルトデフォルト入れるところを探して入る
わざわざ難易度の高いところを選ぶのはよっぽどの暇人か、侵入すること自体に価値を見いだしてるキティさんだけ

240 ：anonymous：2015/09/16(水) 22:47:12.92 ID:???.net

>>229
SSH単体よりもIPSec+SSHの方が単純にセキュリティ強度が高いというだけかと

241 ：anonymous：2015/09/16(水) 22:48:45.80 ID:???.net

>>226
それ以前の問題で、ヤマハルーターではSSHフォワーディングができないから、IPSecとSSHは同列に語れないものだと思うのだけど、どうなのだろう。
どういう意味合いで話が進んでるのかがわからん。
ヤマハルーターにとっては、IPSecはVPNするときに使う暗号化プロトコル、SSHはルーターにCLIで遠隔ログインするために使う暗号化プロトコルつて位置付けな気がするけど、ちがうん？
IPSecで遠隔ログインできるの？

242 ：anonymous：2015/09/16(水) 23:11:03.20 ID:???.net

>>241
可
IPSecでローカルIPからSSHログインする

243 ：anonymous：2015/09/16(水) 23:24:34.11 ID:???.net

>>241
もう少し補足しとくと、IPSecと併用すれば、22番ポートは内向きだけ開けとけばいいことになる