■ このスレッドは過去ログ倉庫に格納されています
YAMAHA業務向けルーター運用構築スレッドPart16
- 1 :RTXXXXX:2015/07/19(日) 03:39:26.74 ID:???.net
- 【お約束】
ここはYAMAHAルーターで小規模〜大規模のネットワークを
構築、運用する人のための情報交換スレッドです。
ネットボランチシリーズ(コンシューマー向け)、業務用向け機器でもYAMAHAルーターの
設定方法、YAMAHAルーターの使い方などハードウェア寄りの話題は関連スレへ
【公式サイト】
RTXシリーズルーター
http://jp.yamaha.com/products/network/routers/
RTpro - ヤマハネットワーク周辺機器 技術情報ページ
http://www.rtpro.yamaha.co.jp/
ヤマハネットワーク機器
http://jp.yamaha.com/products/network/
【関連スレ】
YAMAHAヤマハブロードバンドルーターpp select 20
http://peace.2ch.net/test/read.cgi/hard/1418612262/
【過去スレ・前スレ】
YAMAHA業務向けルーター運用構築スレッドPart15
http://hayabusa6.2ch.net/test/read.cgi/network/1417444171/
【こちらもよろしく(^_^)/】
IPの敵!ファックスを廃止に追い込むネガティブキャンペーン(ファックスは負の遺産【全廃まで継続】)
http://hayabusa6.2ch.net/test/read.cgi/network/1436976836/
- 314 :204:2015/09/24(木) 07:12:02.71 ID:Y/DUKlFc.net
- >>313
p2pだしnatのセッションをハンパなく使うからじゃない?
- 315 :anonymous:2015/09/24(木) 12:24:26.44 ID:???.net
- >>314
そんなに相手側とつながらないとだめなの?
P2Pというくらいだから、1:1かと思っていたんだけど。
- 316 :anonymous:2015/09/24(木) 12:25:56.73 ID:???.net
- P2Pでつなげたら相手から後から攻撃されていたってことはないよね
- 317 :anonymous:2015/09/24(木) 13:16:41.62 ID:???.net
- アプリケーションによって行儀わるいのはよくルーター落ちると聞いたが
- 318 :anonymous:2015/09/24(木) 13:35:12.36 ID:Y/DUKlFc.net
- >>315
p2pという割には複数の相手からDLするし、
DL効率を上げるためだろうけど新しい相手を探すから
Natを消費してセッションのリフレッシュまで保持するのよ
p2pを使わない人にはどうでもいいけど、
管理する側からするとCPU負荷が上がるし
Natを食い散らかすから辛い
- 319 :anonymous:2015/09/24(木) 13:40:38.04 ID:???.net
- >>315
さらっと書くと、winMXのように1対1のノードでファイルを交換してると効率があまり良くないってことで、
winny以降のファイル共有ソフトはファイルを持ってるところを見つけたら片っ端から部分的にファイルをダウンロードするし、
要求があればどこにでもファイルをアップロードする。(トレント)
みんなで部分的にでもファイルをやりとりすれば効率いいし、
みんなで分けて持っておけばダウンロードするときセッション張れば早いよねってことでめっちゃセッション使うんだよね。
- 320 :anonymous:2015/09/24(木) 15:21:57.85 ID:???.net
- >>315
P2Pがなんの略かが分かってれば、
そうはならないはずなんだけどな。
Pはポイントじゃないぞ、ピアだぞ。
- 321 :anonymous:2015/09/24(木) 19:26:18.94 ID:???.net
- >>313
TORRENTでDHTを有効にするとNATテーブルが溢れるらしい
で、NATタイマーを短くするんだってさ
- 322 :anonymous:2015/09/24(木) 22:53:30.59 ID:???.net
- ん?なんか不安定だな?って思ってとりあえずGUI見ようとするとすごーく表示が遅くて
CPU負荷が100%メモリも満杯ぐらいになってたわ。
お仕置き部屋システムで幾分改善されたはず
- 323 :anonymous:2015/09/24(木) 23:00:30.14 ID:???.net
- >>322
どんな条件でお仕置き部屋へ導いているんですか?
>>319
なるほど、支流から本流が生まれるみたいな感じだな。
しかし、それでもIPv6になれば、NATを食い散らかすことなんてなくなるから良くなるのだろうなと思った。
いつ普及するのか知らないけど。うちは、IPv6だよん。
- 324 :anonymous:2015/09/24(木) 23:06:37.01 ID:???.net
- >>318
組織内で、そんなにTorrentが使われているとは思わないが、
そんなにセッション食うアプリなら、多人数が使えば、いくらタイマー短くしても終わりだね。
>>317>>322
セッションといえば、動的フィルタも動いているのなら、
CPUやばそうだな。
>>320
全体としてはこれは、多:多になるな
蜘蛛の巣の感じ、まさにネットワーク層の蜘蛛の巣!
- 325 :anonymous:2015/09/25(金) 09:58:51.59 ID:???.net
- 必死な自演の既視感ぱねぇ
- 326 :anonymous:2015/09/25(金) 16:31:16.00 ID:???.net
- たしかwinnyブロック機能がRTXにも搭載されていたよね。
rtx1210にも継承されたのかしらないけど、
これのトレント版があったら便利かもしれないなあ。
- 327 :anonymous:2015/09/25(金) 19:01:50.61 ID:???.net
- 2ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 2ちゃんねる専用ブラウザからの広告除去
★ 2ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
http://premium.2ch.net/
- 328 :anonymous:2015/09/26(土) 12:28:51.70 ID:???.net
- -‐…‐-ミ
.: ´ .::::::::::::::::::::..`ヽ
. / ..::∧.:::::::∧イ.:::::::::::.
,′.:/\\/ /∨::::::::
i.::::イ 匸フ 匸フ|::::::::{
. j/|::} u ム:::::ハ
. j人 r‐┐ 从/ おいこら!
)≧┐┌_´(
,≪圦 「≫、`
/ `¨¨只´ 、
{ニニ! !l| {ニ]
|::::| ムl! |:::|
|::::| /从 |:::|
- 329 :anonymous:2015/09/26(土) 14:15:24.48 ID:???.net
- >>326
ホント欲しい。ヤマハの中の人も言ってたけど、Winny/Share検知機能なんてルータの仕事じゃないのに
中小企業で訴求効果高いから入れたとか言ってたもん。
だから、マイナンバー特需のUTMで、日本ぽい発想の製品期待してたんだがなぁ。
みんなFortiにもってかれちゃってるよぉ。
- 330 :anonymous:2015/09/26(土) 14:53:10.94 ID:???.net
- もっとほしい。いろいろほしい。
<基本的なもの>
たとえば、IPsecや、SSHサービスについて、
hosts.allowみたいに、ドメイン名で接続元の絞り込みができること。
接続元プロバイダを絞り込めば、少なくとも海外からの攻撃をかわすことができる。
>>329
たしかに、ルーターの仕事じゃないものもあるかもしれない。
WINNY/SHARER検知なんて、アプリケーション層を調べるから、ルーターじゃなくて、UTMの担当だろうな。
しかし、ヤマハにはオールインワンを期待するんだよな。
RTA時代からほかのブロードバンドルーターにはない機能とそれでいて安定性の高さがあったからなあ。
こういう要望って、どうしたらヤマハに届くんだろうか。
- 331 :anonymous:2015/09/26(土) 14:59:22.05 ID:???.net
- >>329
>中小企業で訴求効果高い
WINNYやSHAREなんて、今はもう組織内ではほとんど動いていないように思う。
一時期は開発者が逮捕されるなど大きな話題になってしまっていたね。
- 332 :anonymous:2015/09/26(土) 15:13:29.61 ID:???.net
- そういうのをFWXシリーズで対応していけば良いんでは無かろうか
- 333 :anonymous:2015/09/26(土) 15:37:08.25 ID:???.net
- 必死だね。
- 334 :anonymous:2015/09/26(土) 15:43:01.95 ID:???.net
- >>331
でもセキュリティチェックなんかだといまだに言われるぜ
FWXがルータ&UTMとしてベストポジションだっただけに残念なんだよなぁ。
ちょっと、いや、かなりUTMとしては独特で
- 335 :anonymous:2015/09/26(土) 21:10:08.08 ID:???.net
- ,, -―-、
/ ヽ
/ ̄ ̄/ /i⌒ヽ、| オエーー!!!!
/ (゜)/ / /
/ ト、.,../ ,ー-、
=彳 \\‘゚。、` ヽ。、o
/ \\゚。、。、o
/ /⌒ ヽ ヽU o
/ │ `ヽU ∴l
│ │ U :l
- 336 :anonymous:2015/09/27(日) 00:47:52.71 ID:???.net
- >>332
>FWXシリーズで対応していけば
InterNET----pppoe----[RTX 1200]-[FWX]-LoacalNET
こんな感じでつながっているとき、FWXはこんな風に入るんだと思うけど、
もし、RTX1200で他拠点からのトンネルを収容していて、他拠点のインターネット向け通信(ipsecは除く)のデフォルトゲートとされていたら、
他拠点の通信は、FWXを経由しないことになってしまうんだな。
RTXシリーズに、FWXの機能が統合されれば嬉しい。
>>334
>ベストポジションだった
FWXはこれからどうなっていくんだっけ?
- 337 :anonymous:2015/09/27(日) 01:45:37.96 ID:???.net
- >>336
いや、別にこうしても構わないと思うんだが
InterNET----pppoe----[FWX]-[RTX 1200]-LoacalNET
- 338 :anonymous:2015/09/27(日) 02:00:01.42 ID:???.net
- >>336
UTMはガチでやるとなると、コストかかるから、
FWXはこのまま、マイナー路線でぼちぼちやってくんじゃね?
餅は餅屋よ、やっぱ。
- 339 :anonymous:2015/09/27(日) 02:48:03.82 ID:???.net
- >>337
仮に、インターネットへのWWWへのアクセス用のパケットにターゲットを絞ったとして、
FWXって、IPだけでなくて、PPPも読めるって言うの。
PPPって暗号化されているんじゃなかったっけ。
- 340 :anonymous:2015/09/27(日) 09:36:26.34 ID:???.net
- 今の状態だとFWXを選択する意味がないんだよな。
UTMに近づけば候補に挙がるかもしれない。
- 341 :anonymous:2015/09/27(日) 09:44:09.47 ID:???.net
- >>339
FWXを透過型で使わなきゃいけない縛りでもあるのか?
- 342 :anonymous@ngn-west-025-055-060-180.enjoy.ne.jp:2015/09/27(日) 10:11:35.78 ID:???.net
- >>337
なんで荷台もあるの?
- 343 :anonymous@s501170.xgsspn.imtp.tachikawa.spmode.ne.jp:2015/09/27(日) 12:20:36.03 ID:???.net
- FWXってルータとしても使えるだろ。
- 344 :anonymous:2015/09/27(日) 12:41:36.93 ID:???.net
- うん
- 345 :anonymous:2015/09/27(日) 13:18:39.24 ID:???.net
- >>339
337はpppはFWXで終端して拠点間VPNはRTXで終端してる構成かとオモタ。
- 346 :anonymous:2015/09/27(日) 13:37:59.53 ID:???.net
- RTXの前に置いて透過型ファイアーウォールとしてつかうんだとばかり思ってた
- 347 :anonymous:2015/09/27(日) 15:35:47.83 ID:???.net
- >>346
まあそれも想定ユースケースだけど
- 348 :anonymous:2015/09/28(月) 01:44:43.08 ID:???.net
- >>345
盲点でした!
- 349 :anonymous:2015/09/28(月) 01:46:48.62 ID:???.net
- >>345
たしかにそれでもいけますよね。
ただし静的マスカレードの設定で、UDP 500 4500と、ESPを、内側のRTX1200に投下させる設定が必要になるけど。
- 350 :anonymous:2015/09/29(火) 08:58:50.13 ID:???.net
- うん、糞だね
- 351 :anonymous:2015/10/01(木) 00:50:30.63 ID:???.net
- 透過型FWって普通GWから下に置くよね
- 352 :anonymous:2015/10/01(木) 02:51:23.55 ID:???.net
- >>351
うん。
ただ、IPsecトンネルが拠点から張られているようなセンター方式になっていて、センターでFWXでまとめて処理したい場合には、
>>337のような設置をして、FWXでPPPoEセッションを張るようにする必要があるだろう。
そして、IPsecトンネルパケットについては、>>345さんの言うように内側のRTXシリーズに処理させる。
その場合、>>349のように、PPPoEを終端しているFWX内側でパケットをフォワードする処理が必要になる。
昔、光プレミアムのときPPPoEをCTUが終端していたので、CTUの設定でフォワードして、RTX1100にフォワードしてVPNを終端できた経験があるので問題なし。
透過型でFWXを設置するのなら、そういう場合は各拠点ごとに装置が必要になってしまう。
- 353 :anonymous:2015/10/03(土) 03:03:39.23 ID:???.net
- 大き目の企業はなぜかシスコ使いたがるんだろうな
YAMAHAじゃだめですか?
- 354 :anonymous:2015/10/03(土) 09:54:23.34 ID:???.net
- だめなわけがない
- 355 :anonymous:2015/10/03(土) 09:57:51.66 ID:???.net
- >>353
/|
/ |
∧_∧,/ / / ̄ ̄ ̄ ̄ ̄ ̄
<.`∀´/ /< どうやらあまりの人気っぷりに嫉妬してるみたいだなしんじまえ
_/ つ/ と / \______
~て ) / ん /
/∪ す /
\/ る./|
\__/, |
/// \_|
ωω
空中爆発まであと30秒
- 356 :anonymous:2015/10/03(土) 15:45:45.76 ID:???.net
- >>353
「なんでそんなマイナーなメーカーを選んだんだ!」とか
「なんで既存機器と挙動の違う機器を入れたんだ!」って無茶腹切らされないから。
別分野でいうと○○ー○ー○なんか盛大にクソだけど、同様の理由で選ばれることが多いな。
- 357 :anonymous@pdadd2828.tokynt01.ap.so-net.ne.jp:2015/10/03(土) 16:15:02.61 ID:???.net
- >>356
伏せ字なしでおなしゃす
- 358 :anonymous@36-3-76-8.tokyo.fdn.vectant.ne.jp:2015/10/03(土) 17:39:34.74 ID:???.net
- なんだかんだ言ってシスコはトラブル時の対応力が違うよ。
初事例のバグとかだとUS ciscoも動いてメーカー自ら1ユーザーに代替機材提供したりして原因究明してくれるし。
ヤマハは、もしかしたら優秀なSI使えばいいのかもしれないけど、メーカーのフォローが残念。
とてもじゃないけど大規模投資で使う気にならんよ。怖すぎる。
- 359 :anonymous:2015/10/03(土) 18:12:31.25 ID:???.net
- >>353
決定的なのはそういうサポートの違いで、大企業では選ばれるわけか。
(大企業の予算なら、サポート料が高くても平気だものね)
なるほど、そういう意味で、RTXは皮肉に、中小企業向けと言っているわけか。
性能は互角、もしくは、日本で使うならヤマハのはそれ以上?
まあ、自分で設定できて、トラブルの解決もできる人間がいるのなら、
あまあまのシスコよりも、ストイックなヤマハがベストだと思いたい。
- 360 :359:2015/10/03(土) 18:14:11.19 ID:???.net
- アンカー間違った!
>>358
- 361 :anonymous:2015/10/03(土) 18:19:00.98 ID:???.net
- ヤマハも、シスコみたいに、偉そうな世界レベルの資格試験を行って、
認定制度つくれば、草の根の人たちがヤマハのサポートをするのだろうに。
- 362 :anonymous:2015/10/03(土) 18:22:40.86 ID:???.net
- >>356
ありがとう、ヤマハばかりいじっているが、自信がついたよ。
俺も、伏字がきになる。
「あ あー あー あ 」というリズムをもった固有名詞ってどこだろう。
周りを見回したけどないね。貧乏だからかな。
- 363 :anonymous@36-3-76-8.tokyo.fdn.vectant.ne.jp:2015/10/03(土) 21:08:31.91 ID:???.net
- >>359
サポートがメーカー主体のCiscoと、SIやユーザー主体のYAMAHAって感じかなあ。
そもそも金払って保守契約しないならYAMAHAの方が草の根の情報は多いかも。
うちの会社も止まっても影響少ないところはYAMAHA使ってます。
ただCiscoにも1つ文句言いたいのは、Cat3750XのCPU負荷が異常に上がるのを
バグと認めないこと。絶対おかしいと思ってる。
https://supportforums.cisco.com/discussion/11532116/high-cpu-usage-3750-x-stack
- 364 :anonymous@ae076191.dynamic.ppp.asahi-net.or.jp:2015/10/03(土) 21:21:39.92 ID:???.net
- >>356
ブルーコートだと思う
- 365 :anonymous:2015/10/04(日) 00:42:39.47 ID:???.net
- Black hat
Red hat
Blue Coat
Black Coat
- 366 :anonymous:2015/10/04(日) 02:35:24.52 ID:???.net
- >>363
>金払って保守契約しないならYAMAHAの方が草の根の情報は多い
なるほど。自分たちでなんとかしようとするから、
情報が多くなるわけだ。OSSに似ているな。
- 367 :anonymous:2015/10/04(日) 19:26:46.81 ID:???.net
- >>362
ふぉーてーじだかなんだか?
中小向けネットワーク屋だけど見たことない
- 368 :anonymous:2015/10/04(日) 21:04:17.09 ID:rieJ5dat.net
- YAMAHAのルーター、インターフェースの名前(ppとかtunnelとかlocalとかppanonymousとか)
中身がどういうブロックになっていて、それぞれどこのインターフェースのことを指してるのか
さっぱりわからなくてフィルタの設定ができん…
いい資料が見つかりそうで見つからない
- 369 :anonymous:2015/10/04(日) 21:19:09.81 ID:???.net
- >>368
ここの1.6とかは?
http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/nat-abstruct.html
- 370 :anonymous:2015/10/04(日) 22:13:56.44 ID:rieJ5dat.net
- >>369
ありがとう!
こういう図を探してました
ちなみにもしわかれば教えて欲しいのですが、外部からIPSecでローカルIPをDHCPで
取得して、
そのパイプ経由でWAN(インターネット)に繋ぐ場合の経路としては下記でいいんでしょうか?
外部PC
↓(インターネット)
回線(PPPoE)
↓
PPインターフェース
↓
NAT(PP)in
↓
NAT(TUNNEL)out
↓
TUNNELインターフェース
↓
ルーティング
↓
フィルタリング
↓
NAT(PP)out
↓
PPインターフェース
↓
PPPoE(回線)
↓(インターネット)
インターネット上のWebサーバー
- 371 :anonymous:2015/10/04(日) 23:49:51.02 ID:???.net
- >>370 こんな感じじゃない?
@トンネル(IPSec)の通信
外部PC(パケットをカプセル化)
↓(インターネット)
回線(PPPoE)
↓
PPインターフェースin
↓
NAT(PP)
↓
フィルタリング↓
↓
ルータ自身(カプセル化解除)
Aトンネル内を通る通信
外部PC(@でカプセル化を解除したパケット)
↓
TUNNELインターフェースin
↓
フィルタリング↓
↓
ルーティング
↓
フィルタリング
↓
NAT(PP)
↓
PPインターフェースout
↓
PPPoE(回線)
↓(インターネット)
インターネット上のWebサーバー
- 372 :anonymous:2015/10/05(月) 00:45:18.22 ID:lmIog3wp.net
- >>371
ありがとうございます!
今までずーっとフィルタ設定と格闘しておかげさまでとりあえず開通は出来ました
リモートアクセスVPN(Anonymous)で設定したためか、PPANONYMOUS→WAN側ポートの
フィルタを開けてやらないとダメなようです
逆にTUNNEL→WAN側は空いてなくても行けてしまいます
どうやら、IPSecで暗号化されたものがTUNNELインタフェースを通ってルータ本体(LOCAL?)
に入って、それがPP(Anonymous)インタフェースに届いて、そんでもってそこからWAN側へ
パケットが流れているようです…
まだいまいち解せない感じなのですが、一応そのルートのフィルタが通っていると大丈夫でした
何れにしてもありがとうございました!!
- 373 :anonymous:2015/10/05(月) 00:48:28.00 ID:???.net
- 今時単純なパケットフィルターもしんどいよなー。
上りと下りいちいち書いたりとか、面倒すぎる。
ファイアウォールのポリシーフィルターをルータにも実装してもらいたい。
中国版RTX1200はなぜかファイアウォール機能付いてるのに。
- 374 :anonymous:2015/10/05(月) 01:09:19.34 ID:???.net
- >>372
L2TP/IPsecなんですか?
- 375 :anonymous:2015/10/05(月) 01:12:32.31 ID:???.net
- >>373
動的なフィルタリングじゃだめなん?
- 376 :anonymous@pdf87554b.tokynt01.ap.so-net.ne.jp:2015/10/05(月) 01:17:08.71 ID:???.net
- >>374
はいそうです!
- 377 :anonymous:2015/10/05(月) 01:19:16.77 ID:???.net
- ポリシーフィルターで行けましたよ
- 378 :anonymous:2015/10/05(月) 01:23:47.31 ID:???.net
- プロトコルオーバーヘッドだね
- 379 :anonymous:2015/10/05(月) 01:28:42.43 ID:???.net
- >>378
確かにそうとうヘッダーがくっついてます
- 380 :anonymous:2015/10/05(月) 01:29:44.07 ID:???.net
- >>379
まあ、必要だから仕方がないんだけどね
- 381 :anonymous:2015/10/05(月) 01:30:58.47 ID:???.net
- >>380
そうですねw
- 382 :anonymous:2015/10/05(月) 01:32:43.95 ID:???.net
- >>372
>まだいまいち解せない感じ
ある程度は、文法や、必要なインターフェイスなどから、
内部の概念をあいまいにつかめる。
しかし、プログラミングみたいに、はっきりとその内部構成はわからなかった。
とくに、L2TP/IPSECは、L2TPのリスナーをスタートさせている必要があるけど、
PP ANONYMOUSとどう同調しているか説明できなかったな。
- 383 :anonymous:2015/10/05(月) 01:34:11.15 ID:???.net
- まあ、でもがんばってみてください。
- 384 :anonymous:2015/10/05(月) 01:46:39.61 ID:lmIog3wp.net
- >>382
そうなんですよ
そこが私もよくわからなかったんです
LOCALというのはルーティングブロックのことを指していると思うのですが、
TUNNELから出てきたパケットをとにかくまずLOCALに渡してやる必要がある
そうするとどういうわけかPP ANONYMOUSからパケットが出てくる(ようにみえます…)
で、この時点ではローカルネットワークで流通可能なパケット(カプセル最内層のIPパケット)
になっていて、あとはそれを必要なポートに流れるようフィルタを組んでいく…
今のところ、このような理解です
>>383
まだまだ勉強が必要ですが、とりあえずどうもありがとうございました
- 385 :anonymous:2015/10/05(月) 07:45:28.97 ID:???.net
- ___
. | |
| |
| |
[二二二二二二]
〈 〉
. /_____ \
| |
- 386 :anonymous:2015/10/05(月) 08:20:17.52 ID:???.net
- >>385
なんだよそれ
- 387 :anonymous:2015/10/05(月) 13:43:53.34 ID:???.net
- >>384
>TUNNELから出てきたパケットをとにかくまずLOCALに渡してやる必要がある
>そうするとどういうわけかPP ANONYMOUSからパケットが出てくる
TUNNEL と、PP ANONYMOUSとが、バインドしている。(PP ANONYMOUS の定義で、TUNNELを指定している)
対向 ⇔ ----(IPSEC)---- 「 TUNNELインターフェイス ⇔ -----(L2TP)----- 「L2TPサービス<協調>PP ANONYMOUS」 ⇔ LANインターフェイス」 ⇔ pc
こんなイメージじゃないかな
- 388 :anonymous@p2082-ipbf2008hodogaya.kanagawa.ocn.ne.jp:2015/10/09(金) 07:51:52.01 ID:???.net
- 最近中古で買って弄ってるんですけどフィルタについて教えてください
ネット上の設定例などで明示的にdefaultフィルタを定義してるのはどうしてでしょうか?
また、定義しなくてもrejectされるstaticフィルタをあえて定義しているのはログを見やすくする為ですか?
- 389 :anonymous:2015/10/09(金) 08:19:26.81 ID:???.net
- >>388
基本的にフィルターは入れないと機能しないから入れてるわけで、入れないで機能するフィルターってのはない。
敢えてあるとしたら全てをパスするフィルターぐらい。
フィルター以外の設定でも、デフォルトでいいってものでも後々のために明示しておく意味で入れることもある。
- 390 :anonymous:2015/10/09(金) 09:25:32.50 ID:???.net
- >>389
なるほど
分かりやすい説明ありがとうございました。
- 391 :anonymous:2015/10/10(土) 00:28:42.14 ID:???.net
- >>388
>明示的にdefaultフィルタを定義してる
例えばどんなタイプのですか?
ip filter 9999 reject * *
のことですか?
ヤマハのRTXルーターだと、一つでも静的フィルタを「適用」すると、(注意!定義ではなくて、インターフェイスへの適用ね。)
デフォルトで、上記のようなリジェクトフィルタが暗黙的に設定されるよね。
- 392 :anonymous:2015/10/10(土) 08:50:57.86 ID:???.net
- すみません、質問です
YAMAHAさんのルーターは、ポリシーフィルタの動作としてpass, static-pass, reject, restrictの
4種類あると思いますが、
下記ページ中程のポリシー動作の説明表を見てもrestrictの使い所がいまいちわかりません
http://www.rtpro.yamaha.co.jp/RT/docs/policy_fw/
restrictはどういうときに使うと便利なのでしょうか?
- 393 :anonymous:2015/10/10(土) 10:30:00.02 ID:???.net
- >>391
それにやられたことあったわ
- 394 :anonymous:2015/10/10(土) 14:08:11.50 ID:???.net
- IPsec/L2TPトンネルへの接続が試みられたときに、メールを送信し通知することって
どうやったらできるでしょうか。
- 395 :anonymous:2015/10/10(土) 14:26:17.69 ID:???.net
- >>394
Luaに対応してる機種ならスクリプト組めばできるだろうな
http://jp.yamaha.com/products/network/solution/lua/script/lua-script-behavior-fwx120/
- 396 :anonymous:2015/10/10(土) 14:29:20.16 ID:???.net
- もう一個上の階層のほうがいいな
そのものズバリはないが参考にはなるだろう
http://jp.yamaha.com/products/network/solution/lua/script/
- 397 :anonymous:2015/10/10(土) 16:18:49.10 ID:???.net
- パッケージとかないんですか
- 398 :anonymous:2015/10/10(土) 16:23:59.13 ID:???.net
- 甘えてんじゃねぇ
- 399 :anonymous:2015/10/10(土) 17:22:21.69 ID:???.net
- ルーターでプログラミングすることになるとは・・・
- 400 :anonymous:2015/10/10(土) 17:30:22.56 ID:???.net
- 誰か作ってください
- 401 :anonymous:2015/10/10(土) 17:36:31.93 ID:???.net
- いきなり、組もうとしても、
まずは、HELLO WORLDから始める必要があるので面倒だな。
まずは、メールでHELLO WORLDを送信するところから始めないといけない。
そして、メールで送れることが確信されてから、次のステップへ進む。
次に、どうやってIPsecの接続が試みられたか検知するか、
その仕組みを考える必要がある。
こういうときに、先輩方の設定例が役に立つが、そんな例があるかどうか。
接続元情報やその時間も、メールで通知したいところだなあ。
- 402 :anonymous:2015/10/10(土) 17:39:31.63 ID:???.net
- IPsec接続時に、イベントなんて発生しないのかな。
それがあれば、イベントハンドラを設定すればなんとかなりそうに思うけど、
LUAってそういうOS的なシステムは備えていないのだろうか。
定期的にログを読みだして、分析して、判断して、
メール通知という流れになるのなら、やだなあ。
- 403 :anonymous:2015/10/10(土) 21:40:56.80 ID:???.net
- rt.syslogwatch を使えば、ログが吐かれたタイミングでなにかを動かせる。
http://www.rtpro.yamaha.co.jp/RT/docs/lua/rt_api.html#rt_syslogwatch
使用例見たらすげーヒントだし、あとは「試みられたとき」にどんなログが吐かれるのか調べたらそれで作れるでしょう。
- 404 :anonymous:2015/10/10(土) 22:11:10.05 ID:???.net
- >>391
rejectは書かないとrejectされない。
基本的にフィルターはpassするから、実務上敢えて
ip filter 20000 pass *
なんかをいれることがある。
別の人が見たときにreject入れ忘れてるだけなのか、passさせてるのかってのがわかるようにね。
あとはフィルター以外でもsyslog notice offとか、info onもいれるときがある。
- 405 :anonymous:2015/10/10(土) 22:12:16.16 ID:???.net
- >>403
luaは書けるようになると便利だよ。
- 406 :anonymous:2015/10/10(土) 22:12:19.33 ID:???.net
- リソース食いそうだな
素直にsyslog飛ばしてそっちでいろいろやるツールとかはいっぱいあるんじゃね?
- 407 :anonymous:2015/10/10(土) 22:18:37.69 ID:???.net
- >>404
そんなの?
何もいれなければオールパス
一つでも何か入れたら指定してないパケットはデフォルトでrejectだと思うが
- 408 :anonymous:2015/10/10(土) 22:26:26.76 ID:???.net
- >>407
少なくともCUIで設定するとそんなことはないな
RejectいれないとPassする
- 409 :anonymous:2015/10/10(土) 22:45:00.41 ID:???.net
- >>408
ここを読むと何も指定なしはオールパス、何か一つでも指定するとして以外はrejectになると
読めるんだけど…
機種によって違うの?
http://www.rtpro.yamaha.co.jp/RT/docs/policy_fw/
- 410 :anonymous:2015/10/10(土) 22:57:51.34 ID:???.net
- >>409
これ、ファイアウォールじゃない?
ヤマハルーターの話かと思ってたのだけど。。。
- 411 :anonymous:2015/10/10(土) 23:00:06.91 ID:???.net
- >>409
ファイアウォール製品だと、ポリシーを見ていって、該当しないのは破棄するからrejectと同じ扱いになる。ファイアウォールなんだからポリシー外は通さないのはあたりまえ。
- 412 :anonymous:2015/10/10(土) 23:01:10.73 ID:???.net
- >>410
ファイヤーウォールとルーター違うんだ…
ポリシーフィルターは違ってもいいとして、入力遮断フィルタの設計ポリシーは
ルーターの静的フィルタと統一してほしかったな
YAMAHAさんお願いしますよ
- 413 :anonymous:2015/10/10(土) 23:02:07.46 ID:???.net
- >>411
なるほどね
そう言われれば納得はできるな
- 414 :anonymous@s1001196.xgsspn.imtp.tachikawa.spmode.ne.jp:2015/10/11(日) 00:20:54.08 ID:???.net
- エロい人教えてくだされ。
総レス数 987
271 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200