�E� これは変だよ�??RT-S300NE
HIEDA NET Corpration


 

NTT東日本からRT-S300NEがきた�?�E

早くからフレチE��光ハイパ�Eを利用してぁE��ので、宁E�E裁E���E�ブロードバンドルータ�E��EV-110Mを利用してた�?�E/p>

V-110Mは、E��的NAPT�E�静的IPマスカレード)�E設定で、LAN冁E�Eサーバをインターネットに公開すると、そのIPアドレスに対してはIPフィルタが効かなぁE?�とぁE���?点があった�?�EDOSに対して「廁E��E?�とぁE��方法が取れなぁE��E

随�E前に持E��したんだけれど、対応した機種もあるよぁE��が�?�レンタルで利用してぁE��利用老E��「交換�?�とぁE��方法をとらなぁE�Eも×!と思ってた�?�E

�?から、�?�どぁE��らそれにも対応してるぜ�E��?�と思われる機器の交換�E話が来た�Eは、大歓迎だった�E�?が�E・・、E サービスの運用も�?�機器の設定画面も�?�取説の説明文不足も�?�文句�?らけ�?よ�?�E

設定画面が使用できるようになるまで25刁E��E

V-100Mとケーブル差し替えで交換し、網につなぁE��電源�Eれて。ここから�?�何らか�E自動設定や�?ウンロードが行われてぁE��ようで、web画面にアクセスできたりできなかったりの繰り返し。�E面のインジケータも�?��E点灯したり�?�ACTが点滁E��たり、登録が点滁E��たり。で、webの設定画面が有効になるまで25刁E��どこかに書ぁE��おけば諦めるけれど、E7時前�?ったから�?�E120-710-444 に電話したぜ!E

IPフィルタールールの適用頁E�E説明が何�EにもなぁE?�E

01 �E�E18 ルールがシスチE��予紁E��ぁE��事なので、若ぁE��号が�Eに適用され、後�E番号でそれを打ち消すルールを書け�E良ぁE�Eか!E

チE��ォルト廁E��E��のか許可なのかも説明が無ぁE�Eで判らぬ、E

01 �E�E18 ルールがシスチE��予紁E��ぁE��事なので、これを見て判断しよぁE��なと思ったが、双方向廁E��E��達�EするルールもなぁE��、E

既にシスチE��予紁E��れてぁE��廁E��E��ールを�Eて無効にすると、双方向で「許可」になるよぁE��、E
※�?試す気�E無ぁE?�それ�E利用老E�E役目ではなぁE��ら�E、E

もし、�?�そぁE?�なら�E、ルールの底辺に「双方向廁E��E?�を入れ�?�忁E��なポ�Eト�Eみ「許可」すべきと思うが�?�この設計�?�想はなんなんだろうね、E

シスチE��予紁E��のに、るーる�E適用の可否がいじれるとぁE��思想も�?�すげぇな�E��?�<=褒めてなぁE?�けなしてぁE��の�?よ�?�勘違いしなぁE��ね、E



※�?02 のルールは03 の冁E��を含有してぁE��ぁE���E�E
※�?06 , 08 , 09 , 10 , 11 , 12 , 13 のルールって何�E為�E�E

TCPやUDPにおける�Eート番号の�?覧 �E��??Wikipedia

静的IPマスカレード設定と静的NAT設定がある、E

ほとんどそっくりな画面。まぁ�?�オタクを�?足させるには「細かな設定ができる静的NATで�E��?��?�普通�E人めE��ースキルの人には「静的IPマスカレードで�E��?�との使ぁE�EけなんでしょぁE?�E

静的NAT設定�E静的IPマスカレード設定に優先する�?�そぁE��、相反する設定や矛盾する設定あると、E��的NAT設定を適用するとの事�?�なら�?�どちらかに設定�?�を�E力したら、どちら�E画面からもそのれ設定�?�を表示するようにすれば良ぁE�Eに、E

ここの設定�E力画面につぁE��

バッファローやIOチE�Eタの画面が�?�デザインでは優�?、ETT東西の製品�Eほとんど駁E��、E

何�Eが?かって�E��?�まず画面のフレンドリーさ�?�静的NAT・IPマスカレードやフィルタルールの入力画面で、ある�?つの設定(�?つのルール�E�を入力した後�?�次のルールを�E力する�Eに、E��刁E��面を戻らなきゃならなぁE�EがNTT製、E

こ�E手�Eルールって、�Eート番号�?けを変えれ�E後�E設定�?�はほとんど同じも�E、とか�?�IPアドレスを変えば後�E設定�?�はほとんど同じ、とか�?�トラフィチE��の方向�Eインターフェースを変えれ�E後�E設定�?�ほとんど同じ、なんても�Eばかり、E

ciscoルータやCatalystなら�E、consoleからチE��スト流し込みができるので、メモ帳でコピ�Eしてconfigが作れるが、web画面なら�?つの設定�?�を使ぁE��しできる「変更」�?�追�?」�Eタン皁E��ユーザーインターフェース�E�画面を作るのが�?�ユーザーフレンドリー�?�E�E
※�?V-100MではそれができてぁE��けれどね�E�E

128のルールにアクセスする画面めE6個づつで1ペ�Eジにしてる設計もFuck!どのペ�Eジ何番のルールにあれを設定したかな�E�なんて、何�Eで覚えとけって�?ぁE�Eか�E�E��?�E
※�?ペ�Eジ毎にユーザー設定�Eペ�Eジネ�E�?とかつけられるのならま�?しも�?けれどね、E

お問合せの電話ぁE7:00まで�?と

今年の01/04から、E1時が17時に。昼間にネットワーク設定変更をするってか?(笑!E

それとも事前に設定�?�を設計しておくように、とぁE��姿勢なのかな�E��?�い立ってする人は、事前設計なんかしなぁE��思うが�?�E

取扱説明書にきちんと書ぁE��あればわざわざ電話するまでも無ぁE���Eかり�?けけれどね、E

追記:�Eント!取説は允E��して欲しい、Ean 17 2011

  • 静的NAPT・NATと静的フィルタでは、どちらが優先されるのか?書ぁE��なぁE��E ぁE��めE��、V-110Mであった�?点。これが修復されてぁE��かどぁE��。修復されてぁE��ら�?�E��皁E��ィルタに明示皁E��「許可」るーるを書く忁E��がある。これが不�E、E
  • 静的フィルタの用語説明が無ぁE��E 無通信監視タイマが何を表す�Eか不�E。SPIのタイマ?それとも接続�E設定�E接続モードが「要求時接続�?�で「�E動�E断する」�?�合�Eタイマ?これが不�E、E


    0120-710-444 の方も即答できず、折り返し。で判った事�?�接続モードが「要求時接続�?�で「�E動�E断する」�?�合�Eタイマ�?��?�常時接続�?�では意味が無ぁE��定�?�E
  • 静的フィルタとSPIでは、どちらが優先されるのか?書ぁE��なぁE��E シスチE��予紁E��説明されてぁE��01から18のルール、�Eての送信允E��ら�Eての宛�Eへ、�Eてのポ�Eトから�Eてのポ�Eト宛�E遮断が無ぁE?��?�これ�E拒否ルールしか書ぁE��なぁE��ら�?��E示皁E��拒否してぁE��ルール以外�E�?�?漏れ�E��?�とでも�?�えるよぁE��。拒否ルールが無ぁE��ら�?�信できてぁE��のか?SPIのお陰で通信できてぁE��のかがわからぬ、E

    しかし�?�このフィルタ設定をせずインターネットを楽し�Eユーザーも大勢ぁE��と思われ�?�となると、�Eてのルールが無くても�?�双方向でDefault Deny なのかな�E�で、LAN側からインターネットへのトラフィチE��があると、その都度SPIによる自動ドアが開く�E�?ろうか!E

    LAN側の任意�EIPアドレスを�?�インターネットにアクセスさせなぁE?�設定もできるとぁE��説明を電話でぁE��た�?�(この説明も取説にはなぁE��E��となると明示皁E��拒否ルールでそれを実現するの�?ろう。でフィルタルール01から18は、利用老E��意図しなぁE��ラフィチE��でSPIによる自動ドアが開かなぁE��ぁE��する為の明示皁E?�拒否ルール」なの�?ろう。(これも取説には記述が無ぁE?�!E

    となると、Default Denyのルールが無ぁE��ら�?�と�?って、E9めE0に双方向�E拒否を設定するとSPIより優先して「拒否」が効ぁE��しまぁE?�だと憶測する。じめE?�仮に推琁E��おりとして、LAN 2 WAN方向には「拒否」ルールを設定しなぁE��、WAN 2 LAN方向�EどぁE��んだろう�E�ResponseのトラフィチE��の為に「拒否」ルールは書かなぁE��が正解なの�?ろうか?だとすると、�?�ラン�?�?ポ�Eト発80番ポ�Eト宛�?�なんてトラフィチE��の為に「両方向�?��E持E��できなぁE�E、E

    ここで疑問�E��?�ラン�?�?ポ�Eト発80番ポ�Eト宛�?��Eレスポンスを�?�両方向�?�と�?ぁE��それともレスポンスは、E0番ポ�Eト発ラン�?�?ポ�Eト宛�?�?これをそれぞれルールで書くと、�?�ダ�?漏れ」になりそぁE?�E
    ※�?LAN発のトラフィチE��は想定してなぁE?�そちら�ESPIがある�?�EAPT�E�EPマスカレード)でサーバ�E公開したい場合�?�インターネット�Eから「ラン�?�?ポ�Eト発80番ポ�Eト宛�?��EトラフィチE��を許可するけれど、そのレスポンスのためのトラフィチE��を許可するルールは、E0番ポ�Eト発ラン�?�?ポ�Eト宛�?�だ。�Eれを�?つのルールで「両方向�?�で実現できるのか�?�二つのルールを消費するのか�?��?葉�E定義が不�E�?からこそ「判らなぁE?��E�?。どこぞの研究施設では「声のチE��イ人」にみんなが合わせる�Eで「疑問�?�にも�?�わなぁE�E�?ろうが�?�そぁE��はなぁE��用料��を支払ってぁE��側の人は取説などのドキュメントで記述が無ぁE��り不�Eなの�?、E

  • インターフェース毎にフィルタルールが設定できるが�?�WAN側から見たWAN側アドレスに何を入れるのか不�E アドレス�?けじめE��く�?�インターフェース名�?�で入れられれば良かった�Eにね、E

    どぁE�?ぁE��か、それ�EISP払い出し�EIPアドレスを書き込�?わけにはぁE��なぁE���E�と�?ぁE���?�E

    WAN側からのトラフィチE��をWAN側インターフェースで�?度受けて、�E部で処琁E��て、その後�?�発と宛�Eアドレスの判ってぁE��LAN側インターフェースで廁E��E��ると、WAN側インターフェースで廁E��E��るよりルータに�?拁E��掛かる�?�どぁE��E

    シスチE��予紁E�E03から07ルールに「localhost/255.255.255.255」とのアドレス記述があり�?�DeafultでWAN側の「接続�E�E�~5�?�までのインターフェースに「有効」適用してあるので、多�E、このアドレス記述で使えする�E�?ろうが�?�そぁE��った説明どころか�?��?�localhost/255.255.255.255」�E説明も取説には記述が無ぁE?�E

多�E、�?��?��?�E��、E120-710-444 に電話して�E��?�とのことなんな�?ろう、E

追記:�?部、回答が来たけれど・・・Jan 20 2011

多�E、E��話を掛けてきた方が理解してなぁE?�ET_T)

「庁E��幁E��掛けたルールに対して、相反するピンポイントルールを適用すると、それが優先されます�?��?�E
なんて�?ってきた。ルールの適用頁E��はなぁE?�とのこと。�EぁE��?うんな刁E��なぁE��しょぁE��と思うの�?ぁE ・・・、E

そこで、�?�多�E、若ぁE��号のルールが�Eに適用され、大きな番号でそれを打ち消すルールが適用される�Eず�?��?�E
を�?ってみた�?�今度は開発部�?に質問をするとの事で回答に1週間とか掛かるとぁE��。そこで、その回答でまた質問�Eコール・アンド�Eレスポンスをすると全解決に�?ヶ月�E掛かるだろうと老E��た�?�そこで、E

  • 全てのルールを適用しなぁE?�合�?�WAN to LAN はチE��ォルト拒否と思う。正しいか!E
  • 全てのルールを適用しなぁE?�合�?�LAN to WAN はチE��ォルト拒否と思う。それが通信できるように見えてぁE��のはSPIが常時ON�?からではなぁE���E�正しいか!E
    ※�?以前�E�?部の機種では、SPIのON/OFFが利用老E��よって設定できた。これことも踏まえて、E
  • フィルタルールの両方向とはどんな仕様か�E��?�E��向�EどのトラフィチE��に対して効く�Eか!E
    • ラン�?�?ポ�Eト発任意�Eポ�Eト宛�E両方向を設定したら、ラン�?�?ポ�Eト発任意�Eポ�Eト宛�EトラフィチE��とラン�?�?ポ�Eト発任意�Eポ�Eト宛�EトラフィチE��の絁E��合わせになる�Eか!E
    • ラン�?�?ポ�Eト発任意�Eポ�Eト宛�E両方向を設定したら、ラン�?�?ポ�Eト発任意�Eポ�Eト宛�EトラフィチE��と任意�Eポ�Eト発ラン�?�?ポ�Eト宛�EトラフィチE��の絁E��合わせになる�Eか!E
を質問し、これを合わせて開発に訊いてもらぁE��とにした。二番目の質問�E�?葉�E定義である。取説に書ぁE��あればわざわざ電話するまでも無ぁE���?�た�?仕様と異なる�?�い込みをして設定すると、意図しなぁE��ラフィチE��を�?�過させる事になる�?�E

多�E、E

  • ラン�?�?ポ�Eト発任意�Eポ�Eト宛�E両方向を設定したら、ラン�?�?ポ�Eト発任意�Eポ�Eト宛�EトラフィチE��とラン�?�?ポ�Eト発任意�Eポ�Eト宛�EトラフィチE��の絁E��合わせになめE
との回答になると思う、E

では、LANからインターネットにアクセスすることと、インターネットへのサーバ�E開を�?つのルールで実現できるが�?�LAN発は常時SPIが効ぁE��ぁE��のでわざわざ開ける忁E��も無く�?�なぜなら�?�LANからWANへの通信に「許可ルール」�E要らなぁE?�その通信を�?�拒否」するルールさえ設定しなければ、SPIが効きレスポンス�E�お帰り)�EパケチE��も�?�すはず�?��?�両方向�?��?�許可」ルールでは常時�?�開く�?��Eでこ�ESPIが無駁E��なる�?�E

�?が�?��?�両方向�?��?�拒否」ルールでは意味がある�?�TCPとUDPポ�EチE35・137-139・445のトラフィチE��を双方向で遮断できる、E

  • ラン�?�?ポ�Eト発任意�Eポ�Eト宛�E両方向を設定したら、ラン�?�?ポ�Eト発任意�Eポ�Eト宛�EトラフィチE��と任意�Eポ�Eト発ラン�?�?ポ�Eト宛�EトラフィチE��の絁E��合わせになめE
も意味がある�?�サーバ�E公開したら、期征E��るパケチE��はWAN to LAN方向�Eラン�?�?ポ�Eト発特定�Eポ�Eト宛�?�これ�EレスポンスパケチE��はLAN to WAN方向�E特定�Eート発ラン�?�?ポ�Eト宛�?�このトラフィチE��を実現するのに「両方向�?��E忁E��と思う。レスポンスではSPIは動作しなぁE��らデフォルト�?�拒否」が効ぁE��お帰りが「返れなくなる�?��Eかなと、E

で、実験してみた(と�?ぁE��り実運用中である�E�E

前�?の老E��から�?�LAN側からインターネットを楽しんで、インターネットにサーバを公開して、を実現するのに、E

  • LAN to WANの許可ルールは要らなぁE
  • WAN to LANの両方向許可ルールは忁E��E
と思ってたら、E
  • LAN to WANの許可ルールは要らなぁE
  • WAN to LANの頁E��向許可ルールは忁E��E
で実現できてしまった�?��Eて�E�サーバ�E公開時のレスポンスパケチE��は何故�E��?�過できてぁE��んだろう�E�E

しかし�?�このweb設定画面はイラつくな�E�E

任意�Eルールを作ったらぁE��ぁE��ルール�?覧に戻らなぁE��新たなルールが作れなぁE��んて、E��いweb画面ではめE��て欲しいな�E��?つの画面で全てできるようにしよぁE���E��?画面で全表示できなぁE�Eならスクロールさせれ�E良ぁE��めE��ぁE���E�ルール冁E��の編雁E��面で以前作ったルールの冁E��を�E利用・�?部のみ書換で新たな追�?ルールを作れるよぁE��ならなぁE��のか!E
※�?二度目�?けれど以前�EV-100MではできてぁE��事だし�?�IO-DATAやBuffaloのルータでもできてぁE��ことさ�?�やっぱNTT関係�E人達って利用老E��お客様とは老E��てぁE��ぁE��ぁE��ね�E�E

で、実験用ルールを追�?してみた�?�E

WAN側インターフェースに追�?したルールは以下�E通り

じゃ電話で回答があった�?�SPIが静皁E��否ルールより優先しなぁE?�事を確認するため�?�ルール20を�?�両方向�?�にしてみようか�?�WAN側インターフェースなので、E?�E��向=WAN側よりのインバウンド�?�E?�E��向=WAN側へのアウトバウンド�?�だよ�E、E

そして保存と、E

予想に反して通信できてしまった!E

もちろんWebブラウザでもインターネットにアクセスできた、E

またまた�?�説明と異なる振る�EぁE?��?体どぁE��ってぁE��んでしょぁE��E

SPIを効かしてぁE��のがLAN側インターフェース�E�LAN側で「拒否ルール」を設定したら�E�疑問�E沢山�E�た�?「LAN側インターフェースに拒否ルールを設定�?��E避けたぁE��。いくら「設定�?�のファイル保存�?�ができても�?��?�拒否設定�?�をしたとたん、ルータの設定画面にもアクセスできなくなり�?�機器のリセチE��」を外部ボタンからすることになる�E�?からこれは「面倒!�?�だ。僕がやる事ではなくNTT東日本がやる事だから、E

別な疑問

基本設定で任意�EISPめE��レチE��スクエアに接続�E設定をしたインターフェースと未設定�Eも�Eとでは、E1-18のチE��ォルトフィルタルールに差異があるよぁE��。接続�Eを設定すると自動的に適用されるルールがあるよぁE��見える�?�これを0120-710-444に訊いてみた�?�即答�EなぁE?�取説に書ぁE��おけば良ぁE��のを�?�E

でこれは接続�E�E�に設定した�E容めE��レチE��スクエア接続を未設定�E接続�E2めE・5に作ってみれ�E判ること。やってみた�?�どぁE��ら�?�僕が強力にルールを適用してぁE��よう�?、E

「拒否」ルールでも�?�信できたように見えた件

SPIチE�EブルにセチE��ョンが残ってぁE��と、拒否ルールを適用しても�?�そのセチE��ョンが終わるまでは通信できる事が判明�?�それを終亁E��せてからは遮断できた。これ�E 0120-710-444 の人達も知らなかった�?�E

明示皁E��「拒否」も「許可」もしなぁE?�合�E振る�EぁE��不�E

チE��ォルト�?�拒否」なのかどぁE��判らなぁE�Eで、LAN発の通信が�E功する�Eは、拒否ルールが無ぁE��ら�?�信できてぁE��のか?SPIのお陰で通信できてぁE��のかが不�E�?。デフォルト拒否ではなく�?��Eポ�Eトアクセス可能なら�Eヤバイ�E��?�E

サーバ�E公開をしてぁE��場合に「拒否」ルール設定により、NAPT�E�EPマスカレード)より静皁E��ィルタが優先してぁE��事が判る�?��E示皁E��拒否ルールを設定しなぁE��アクセスで来てしまぁE��とから、デフォルト拒否ではなく�Eポ�Eトアクセス可能と判断する。それをLAN冁E�Eサーバに転送するかどぁE��はIPマスカレード�E役目。前提として「WAN側からのパケチE��にはSPIは効かなぁE��ら�?�がある、E

明示皁E?�拒否設定なし�?�でIPマスカレードでサーバ�E公開ができてしまぁE��ら�?�インターネットからルート�Eアクセスも�?�ダ�?漏れ」的に可能なんだろう。するとこれを防止するために「�E示皁E��否ルール」を設定し、サーバ�E公開で忁E��なポ�Eト宛�E通信を許可するルールを適用すると、LAN発パケチE��にもこれが適用される�?�つまりSPIの意味が無くなる�?�何でこうなるかと�?ぁE��、フィルタルールぁE

  • 発アドレスから宛アドレス方向を「�?�E��向�?�E
としてぁE��ので、LAN発でもWAN発でも�?��?�E��向許可」になって通過するから。そしてそ�Eレスポンスも�?��E示皁E��可」なしでも�?�過する、E

ぁE���E�征E��よ�?�お返りパケチE���E�レスポンス�E�が「�E示皁E��可なし�?�に通過するのは、SPIが効ぁE��ぁE��から�E�だとするとLAN発パケチE���?けでなくWAN発パケチE��にもSPIは効ぁE��めE��てる?まさかぁE��とは思いたいが�?�E

LAN発のパケチE��にSPIが効くかどぁE��以前に、インターネット�EからのパケチE��に明示皁E��否ルールを設けなくても�?�アクセス不可」が不�Eなので、E0番ルールに「�Eアドレス発全アドレス宛�E全ポ�Eト発全ポ�Eト宛�?�パケチE��拒否する頁E��向ルールを設け�?��E示皁E��サーバ�E開用「許可ルール」を設けた。このルールのお陰で、LAN冁E�Eストもインターネットを楽しめる�?�E

本来は

  • LAN発パケチE��用のフィルタールールは設けずSPI任せにぁE
  • WAN側からのサーバ�Eアクセスのために「許可ルール」を設けたぁE?�E
しかし�?�これを実現するには、�?��?�E��向�?�とか�?ぁE��ールではなく�?�WAN to LAN方向�?��?�LAN to WAN方向�?�で見なぁE��。ラン�?�?アドレスにしたとたん「�?�E��向�E双方向になる!�?�とぁE��ことね、E

それとも静皁E?�許可」ルールを適用してぁE��も�?�無通信時�ESPIで「ドアを閉じてぁE��」と�?ぁE��味でのSPIなんだろうか?インターネット�Eからのアクセス「可否」�E振る�EぁE��ら�?�とてもそぁE��は思えなぁE��れどね、E

LAN側が�Eライベ�Eトアドレスなんだからそれで発アドレス・宛アドレスを指定して「�?�E��向�?�が「片方向になるじめE���E�とぁE��意見�E却下!だめE

インターネット�Eからプライベ�Eトアドレス篁E��発でアクセスがあったら怖い�E�だろうが�?�(笑)これらは即廁E��E��同じ理由でプライベ�Eトアドレス宛も廁E��E��E

LAN側インターフェースなら�Eプライベ�Eトアドレス篁E��での宛アドレス・発アドレスで牁E��向も可かもね、E

で実�EチE��ォルトフィルタルールの�E��E�E��E�E��E�E��E�E�を見るとルーター自身のアドレスとして

  • localhost/255.255.255.255
なる記述がある�?�どぁE��らループバチE��アドレスらしぁE?��Eっきりとした説明�E何�Eにも書ぁE��なぁE��れど。で0120-710-444には「これ�Eルーター自身のアドレスとして利用できるのか?�?�訊いてる�?�回答�Eま�?無ぁE?�E

unnumberedのインターフェースでインターフェースのアドレスの代わりにループバチE��アドレスが利用できるルーターは多い。これと同じように、ISPから払�Eされるグローバルアドレスが判らなくてもループパチE��アドレスが使えれば事�E簡単だ�E��?�E

サーバ�E公開�E場合�?�インターネット�Eからのリクエスト�Eルーターのグローバルアドレス宛であって、LAN側のプライベ�EトアドレスではなぁE?�localhost/255.255.255.255がルーター自身のアドレスとして利用できれば、WAN側のインターフェースでラン�?�?アドレス発・ルーターアドレス宛としてパケチE��を特定でき�?�LAN発パケチE��と区別でき�?�WAN to LANの「�?�E��向�?�をWAN to LANの「片方向�?�として利用できる。ラン�?�?アドレス発�E�ラン�?�?アドレス宛にはならなぁE��ら�?��?�E��向�?�ルールが双方向ルールにもならなぁE�E�?、E

※�?�?見�?�LAN側からもラン�?�?アドレス発・ルーターアドレス宛があるじゃん!と思うかもしれなぁE?�しかしこ�EパケチE��はLAN側インターフェースを対象とするも�E�?し�?�またLAN発のパケチE��は「�Eライベ�Eトアドレス発」と篁E��を特定できる�E�E

※�?LAN発�E�WAN宛�E通信はルーター宛ではなぁE?�EAN側インターフェース上ではプライベ�Eトアドレス発ラン�?�?アドレス宛だ。WANインターフェース通過時�EISP払い出し�Eグローバルアドレス発�?、EAN側インターフェースではフィルタリングしなぁE�EでSPIが効くと思うし�?�WAN側インターフェースでは、グローバルアドレス発ラン�?�?アドレス宛になるだろう。静皁E��可フィルタを作れば通過可能�E�E��ところが実際には許可ルールが無くても�?�過した�E�E��E

※�?こうぁE��のって「多�EそうじゃなぁE��な�E��?�なんて利用老E��オタチE��ーに探すものじ�EめE��ぁE?�料金を取ってぁE��サービス事業老E�Eが�Eニュアルに書ぁE��提示すべきもの�?、E




※�?上図のLAN側インターフェースの許可ルール、実際には適用してぁE��ぁE?��E示皁E��否ルールが無ぁE�Eで明示皁E��可も要らなぁE�Eず�?�E

※�?LAN発�E�WAN宛�EパケチE��に効くと�?われてぁE��SPI、EAN側インターフェースで掛かる�E�?ろうか?WAN側インターフェスで掛かる�E�?ろうか?�??ルール20で全アドレス発�E�localhost/255.255.255.255宛�??全ポ�Eト発�E��Eポ�Eト宛�E両方向拒否ルールを作ってみた�?�その後�Eルールでサーバ�E公開に忁E��なも�E�?けを開けてぁE��。そのサーバ�E開�E許可ルールを無効�E�非適用�E�して、�E示皁E��許可ルールが何�Eに掛からなぁE��ぁE��してめEAN側からインターネットにアクセスできた。�E示皁E��否ルールの無いSPIはLANインターフェースで機�EしてぁE��と推測する、E

�?がしかし、�Eの推測したように、LAN側インターフェース上ではプライベ�Eトアドレス発ラン�?�?アドレス宛だ。WANインターフェース通過時�EISP払い出し�Eグローバルアドレス発のはずで、WAN側インターフェース通過時�Eルール20の両方向拒否ルールに引っかかると思うの�?が�E・・。何故�?か�?�信できてぁE��。発アドレスを付替えてめEAN発パケチE��と見てぁE��の�?ろうか!E

※�?サーバ�E開用のWANインターフェースの許可ルール。ルータのアドレス宛�?�E��向�?�つまり�?�レスポンス�E�お返り�E��?�パケチE��の許可ルールは老E�EしてぁE��ぁE?�しかし、サーバ�E公開できてぁE��。�Eて�E�E

Localhost/255.255.255.255 はルーターの自アドレスとしては使えなぁE��たい

WANインターフェースに上図のルール適用状態にしてみた�?�インターネット�Eからwebサーバにアクセスできる�E��Eて�E�E

更に、WANインターフェースに19ルールを作って適用してみた�?�これでもインターネット�Eからwebサーバにアクセスできる�E��Eて�E�E

次にISP払�Eし�EグルーバルアドレスめE0ルールのlocalhostのかわりに設定してみた�?�それでもインターネット�Eからwebサーバにアクセスできる�E�もしかして、NAPT・IPマスカレードすると静的拒否フィルタが機�EしなぁE��インターネット上�E任意�Eホストから�Eアクセスを拒否できなぁE��E

で、インターネット�Eからアクセスするホスト�EIPアドレス発ラン�?�?アクセス宛�EパケチE��を廁E��E��るルールを作ってみた�?�ちめE��と廁E��E��た�?�これ�E大丈夫�E�E

�?が�?�インターネット�Eからアクセスするホスト�EIPアドレス発ルータのグローバルアクセス宛では廁E��E��きなぁE?�アクセスが�E功してしまぁE?�Eocalhost/255.255.255.255�?でも駁E���?�E�アクセスが�E功してしまぁE?�E

多�E、PPPoEにカプセル化したパケチE��・PPPoE接続ではLocalhost/255.255.255.255は機�EしなぁE�E�?ろう。PPPoEにカプセル化しないNTT東日本の網でで利用するアドレスなの�?ろう、E

フィルタルールの頁E��に適用の優先度は関係なぁE?�E

20番ルールと同じも�EめE00でつくり適用してみた�?�E0番と100番と両方適用しててもその間�Eルール番号で許可ルールがあれ�Eそちらが優先する�?�つまり�E示皁E��否より明示皁E��可が優先する�?�番号の若ぁE?�E��適用などの仕様�E無ぁE?�E

設定�Eタンで即適用�E�E

どこか�?箁E��でも設定を編雁E��ると左上�E保存�Eタンが橙に変るが�?�保存しなくても設定�E即適用される�?�保存�Eタンはメモリに保存する�Eタン、E

しかし�?�このweb設定画面はイラつくな�E�E��2!E

任意�Eルールを作ったらぁE��ぁE��ルール�?覧に戻らなぁE��他�E・次のルールが編雁E��きなぁE��んて、E��いweb画面ではヤメチE��しいな�E��?つの画面で全てできるようにしよぁE���E��?画面で全表示できなぁE�Eならスクロールさせれ�E良ぁE��めE��ぁE���E�ルール冁E��の編雁E��面で以前作ったルールの冁E��を�E利用・�?部のみ書換で新たな追�?ルールを作れるよぁE��ならなぁE��のか!E

�?体�?�誰がこれを作ったん�?ぁE��T木さんか?H本さんか?T原さんか�E�O倉さんてことは無ぁE��ね�E�誰�?としてもこのルーターはユーザーの利便を�?�E�Eして無ぁE�E、E

バグ発見!E

TCPとUDPポ�EチE723を�Eれて「設定�Eタン」を押すと「pptp」と翻訳して受け入れるのに、その「pptp」�Eまま「設定�Eタン」を押すとErrorになる�?�E



回避方法�E1723と数字で入力すること。もちろんpptpと翻訳はしてくれる�?��E刁E�E翻訳を拒否するとは間抜けだね、E

0120-710-444 は 0120-970-413 と同じらしぁE

製品添付�E説明書きには、E120-710-444 が書ぁE��ある。電話すると 0120-970-413 につながるよう�?。あちら�E人達�E 0120-710-444 とは意識してぁE��ぁE?�Ea href="http://web116.jp/contact/phone.html#03" target="_blank">webの問合せ�Eを教えてもらった�?�そこに載ってぁE��電話番号の通り�?とぁE��、E

以前�Eこ�Ewebで「問ぁE��わせフォー�?」があったらしい。いまもあれ�E伝�?ゲー�?にならなぁE�Eにね、E

ぁE��つか回答が来たけれど�?追記:Jan 21 2011

ぁE��つか回答が来た�?�こちらで振る�EぁE��見てて判っちめE��た事も、E

  • フィルタルールの頁E��に適用の優先度は関係なぁE?��E示皁E��否より明示皁E��可が優先する�?�E
  • 拒否ルールが無ぁE?�合�?�パケチE��は通過する。デフォルト拒否、原剁E��E��E?��EしてぁE��ぁE?�E
である。拒否ルールのみのチE��ォルト�E01から18ルールでも�?�デフォルト�E適用状態�E04�E�E8ルールのみ。僕には開けっ放し!に感じる�?�E

細かい質問に開発の方面が�E立たしい感覚を持ってしまったよぁE��
「すべからく�Eての悪意ほ持ったアタチE��に耐えられるよぁE��セキュリチE��ーを完璧に備えた製品ではなぁE�Eで、それを望�Eなら�?�LAN側にそ�Eような製品をつけるとか�?�LAN側のPCにセキュリチE��製品をインスト�Eルしたら�?�E
などと�?ってぁE��らしぁE?�そんな提案をしてくる前に取説に書ぁE��ぁE��ぁE��刁E��説明しろよ�E�なんだけれど、E

V-110Mでは、LAN側インターフェース・WAN側インターフェースと意識せず�?�トラフィチE��の向きでパケチE��フィルタを設定�E来た�?�フィルタルールの有無に関らず「原剁E��E��E?�か「原剁E��可」を設定できた。インターネットを楽し�E�?け�Eユーザーは「原剁E��E��E?�設定さえすれ�ESPIで自動ドアが開くから安�Eにインターネットが楽しめた�?�サーバ�E公開するユーザーめEAPT�E�EPマスカレード)�E設定とそこで公開するWAN to LAN方向�E静的許可設定をする�?けで安�Eにインターネットが楽しめた�?�E
※�?NAPTしたトラフィチE��に対しては静的拒否設定が効かなぁE?��Eを除け�E、E

RT-S300NEでは、IPマスカレード!EAPT�E�したトラフィチE��に対しては静的拒否設定が効く�?��?晴しい�E�だが�?�E

  • チE��ォルト拒否、原剁E��E��E?��E設定が見えなぁE
チE��ォルト拒否、原剁E��E��E�E利用老E��自身でルール設定しなきゃならなぁE?�じめE��れ�Eどんな方法で実現するんだ�E�V-110MでできてぁE��ことと同等�EセキュリチE��をどのようにすれば実現するの�?�E�E
  • WAN側インターフェースに静的な原則拒否と静的な公開�Eート許可のルールを設定すれ�EぁE��のか?この場合�?�LAN発バケチE��のSPIを上書きしなぁE�Eか?(許可ポ�Eト�E開けっ放しか�E�!E
  • LAN側インターフェースに公開�Eスト宛�E静的拒否と静的許可のルールを設定すれ�EぁE��のか?この場合�?��E開�Eストを除くLAN発バケチE��のSPIを上書きしなぁE�Eか?(�E開サーバで利用するアドレス以外にはSPIが有効に効くか�E�!E
ぁE��れも、パケチE��フィルタルールはSPIより優先する�?�との回答を得てぁE��からこその疑問�?。取説には設定例さえ載ってぁE��ぁE?�E

�?からSPIは何�Eで機�EしてぁE��のか?動ぁE��ぁE��のか?を訊かざるを得なぁE?�インターフェース上で動いてぁE��のなら�E、WAN側ではSPIを上書きするだろう、EAN側ではSPIが効くだろう、E

SPIにつぁE��は、インターフェース上ではなくルーター本体そのも�Eで機�EしてぁE��、との回答を得た、EANとWANのインターフェースの間と老E��て良ぁE��ろう。しかし、どちらか�?方のインターフェースに静的ルール設定をするとSPIを上書きすめE許可ルールなら�E開けっ放しになめEのならよろしくなぁE?�E

こ�E回答を得る時�?�E

  • 「WAN側からルータのグローバルIPアドレスにアクセスで来ても�?�IPマスカレード設定をしてぁE��いLAN側のホストにはたどり着けません。�?�E
  • 「LAN側ホスト�Eインターネットブラウズができます�?�E
との説明があった�?�もちろんそれは琁E��する。た�?これはSPIの機�Eではなく�?�NAT・NAPTの機�E�?。動皁E��ケチE��フィルタの有無に関係なく�?��Eートとアドレス変換をしてLAN冁E��E��ホスト�Eインターネットアクセスを実現する。SPIは動的フィルタの機�Eを�?ぁE?��Eートとアドレス変換をしてぁE��からと�?って「SPIが効ぁE��ぁE��す�?�とはぁE��なぁE?�動皁E��ィルタが効ぁE��ぁE��ぁE��もしれなぁE?�E
※�?SPIは動的フィルタの語だが�?�実裁E�ENAT・NAPTチE�Eブル�E�SPIチE�Eブルなんだろう。!Einuxならiptables�?�E�E

現時点でのフィルタルール�E�Jan 21 2011

WAN側は利用するポ�Eト�Eみ開放の静的フィルタ設定を適用。SPIは効かなぁE��思う。�E開サーバで利用するポ�Eト�E常時開ぁE��て良ぁE?��?�E��向で設定してもアドレス持E��が全アドレス発宛なので両方向と同等�?�LAN発WAN宛で利用するポ�Eトも開きっぱなしになってる�?�E

LAN側は公開サーバ宛�EパケチE��の利用するポ�Eト�Eみ開放の静的フィルタ設定を適用。このアドレスではSPIは効かなぁE��思う。他�ELAN冁E�Eスト発のパケチE��にはSPIが効ぁE��ぁE��事を期征E?�E

※�?iptablesのポ�Eトとアドレス変換の機�Eは効ぁE��ぁE��ことはインターネットアクセスが�E功する事で確認済み。これが出来てぁE��からとぁE��て動的フィルタが効ぁE��ぁE��のか�E不�E、EANでもWANでぁE��れか�?方に静的許可のパケチE��フィルタルールを適用すると該当パケチE��ではSPIが効かなぁE��ぁE��仕様なら�ESPIは全滁E?�V-100Mで出来てぁE��事が出来なくなる�?�少なくとも忁E��なポ�Eト�Eみを静皁E��開ける�E実現してぁE��、E

しかし�?�何で「�?�E��向�?��?��?�E��向�?�なんて仕様にしたのかな�E�E

発アドレスから宛アドレス方向を頁E��向としてぁE��、EAN冁E�Eスト発�E�インターネット上�Eホスト宛も頁E��向だし�?�インターネット上�Eホスト発�E�LAN冁E�Eホスト宛(静的NAPTでグローバル公開)も頁E��向だ。これでは 吁E��ンターフェースの「�E力方向�?��?��E力方向�?�それぞれに「�?�E��向�?�が存在する、E

吁E��ンターフェースにおいて「�E力方向�?��?��E力方向�?�で設定するよぁE��すべきだったと思うよ�?�E

フィルタルールの適用頁E��つぁE��回答が来たけれど・・・�?追記:Jan 25 2011

なんか、とても信じられなぁE��冁E��がきた�?�E

  • 番号の若ぁE?�E��適用が優先されまぁE
とのこと。�E日「許可ルールが拒否ルールより優先する�?�を�?ってきたばかりなのにまたまた�E身の�?と矛盾する事を�?ってきてる�?�もちろんこれはぁE��違います�E、E
  • 許可ルールが拒否ルールより優先すめE
のはず�?�僕がRT-S300NEに適用したフィルタルールは既に公開してぁE��けれど、拒否ルールが若ぁE��号で許可ルールが大きな番号�?けれど許可ルールがちめE��と効ぁE��ぁE��、E

「番号の大きなも�Eが優先して適用される�?��E勘違ぁE��と�?ぁE��も老E�Eして、番号の大きな拒否ルールも適用してみたが振る�EぁE�E変らなぁE?�拒否ルール二つでサンドイチE��してる�Eに許可が効ぁE��ぁE��とぁE��事�E「許可優先�?�ですよね、E


LAN側ホスト�Eインターネット上�Eサーバとhttpもpopもsmtpもicmpも�?�信できる�E�インターネット上から�E開サーバにアクセスすると、httpも見えるしsmtp・popでメールも�?�受信出来た!E

WAN側インターフェイスに掛かる拒否ルールが両方向なのに許可ルールが�?�E��向�EみでパケチE��通過するのは、E?�信允E��宛�Eのアドレスが�Eアドレス�E�E�?から、EAN側のように、宛�Eもしく�E送信允E��任意�Eアドレスに定まると、トラフィチE��の方向も頁E��向=片方向になる�Eで、E

  • 拒否ルールが�?�E��向なら許可ルールも�?�E��向で通信成竁E
  • 拒否ルールが両方向なら許可ルールも両方向で通信成竁E
である、E

両方向とは双方向ではなぁE

両方向�E意味を尋�Eた�?�その回答も得た、E

  • 頁E��向�E送信允E��ドレスを宛�Eアドレスにし�?�E?�信允E�Eートを宛�Eポ�Eトにするのが�?�E��向�?�いわゆるレスポンスを想定�?�E
  • 両方向とは、E?�E��向と送E��向を合わせたも�E。リクエストとレスポンスを想定�?�E
  • 送信允E��ドレスと宛�Eアドレスを�Eれ替えた�?け�Eお互いのアドレスに対する、それぞれ�E通信との意味での双方向ではなぁE?�E
とのこと、E

動的フィルタリングと静的フィルタリング

多�E、iptablesか同等�E機�Eのプログラ�?を利用して、LAN発パケチE��に対する動的NAPT�E�動的IPマスカレード)と動的フィルタリングを実現してぁE��と思う。見てぁE��記録チE�Eブルは同じも�E、E

静的フィルタはインターフェースで行うと思うのでiptablesか同等�E機�Eのプログラ�?は利用してぁE��ぁE��思う。RT-S300NEには「SPIのON/OFF」が無ぁE�Eで常時ONとなるが、�E示皁E��静的フィルタをすると該当パケチE��に対してはSPIが無効になる仕様�?�E

  • 静的許可フィルタでSPIの自動ドアは開きっぱなし�?�E
  • 静的拒否フィルタでSPIの自動ドアは閉まりっぱなし�?�E
とのこと。ここで気になる�Eは、任意�EパケチE��に対してSPIのON/OFFを別個にする事�Eできるの�?ろうか?とぁE��こと、E
  • 任意�EパケチE��に静的フィルタをかけると、発アドレス・宛アドレスが同じでポ�Eトが異なるパケチE��に対してもSPIが無効になる�Eか!E
  • 任意�EパケチE��に静的フィルタをかけると、同�?インターフェースを�?�過する他�EパケチE��に対してもSPIが無効になる�Eか!E
  • ぁE��れか�?方のインターフェース上で静的フィルタを設定するとSPIも機�E停止するのか!E
などなど。SPIと同じ部刁E��静的フィルタを実現してぁE��なら�E、任意�EパケチE��に対してSPIのON/OFFを別個にする事�Eできると思うので、E
  • 任意�EパケチE��に静的フィルタをかけても�?�発アドレス・宛アドレスが同じでポ�Eトが異なるパケチE��に対してもSPIが有効
  • 任意�EパケチE��に静的フィルタをかけても�?�同�?インターフェースを�?�過する他�EパケチE��に対してもSPIが有効
  • ぁE��れか�?方のインターフェース上で静的フィルタを設定しても静皁E��ィルタに該当しなぁE��ケチE��に対してはSPIが有効
となる�Eず�?�た�?、�?�なる�Eず�?�と�?利用老E��思い込んでもその仕様�E不�E。そこで「どぁE��ってぁE��の�E��?�と質問してぁE��の�?が�E確な回答�E来なぁE?�E
※�?開発老E��はなぁE��でね。インターネット�Eオタク利用老E���E称エンジニア�E�的に「訊かずともあったり前ジャン�E�SPI�?ぜ!�?�とは�?えなぁE?�E
  • 任意�EパケチE��に静的フィルタをかけると、発アドレス・宛アドレスが同じでポ�Eトが異なるパケチE��に対してもSPIが無効になめE
  • 任意�EパケチE��に静的フィルタをかけると、同�?インターフェースを�?�過する他�EパケチE��に対してもSPIが無効になめE
  • ぁE��れか�?方のインターフェース上に静的フィルタを設定すると静的フィルタに該当しなぁE��ケチE��に対してもSPIが無効になめE
  • ぁE��れか�?方のインターフェース上(例えばWAN側インターフェース�E�に静的フィルタを設定すると静的フィルタを設定してぁE��ぁE��ンターフェース�E�例えばLAN側インターフェース�E�に対してもSPIが無効になめE
なんて仕様だったらどぁE��る?これ�E�?利用老E��実験して確認すべきこと�?ろうか?否�E�料金を受け取ってぁE��側が�?�○○な仕様です�?�と説明すべき事だろう、E

「LAN発のパケチE��に対しては、SPIチE�EブルでレスポンスパケチE��を見てぁE��ので、E?�信終亁E���?定時間でポ�Eト�E自動で閉じられます�?��?�E
と�?ぁE��がら、E
「基本双方向許可なのでチE��ォルト�E静的フィルタ以外�E拒否は無く�?�WAN側からの入力方向トラフィチE��はWAN側インターフェースを�?�過します�?��?�E
との説明もあった�?��?�矛盾」してぁE��と思う。それとも�?�E
「WAN側からの入力方向トラフィチE��はWAN側インターフェースを�?�過するけれど、その後�?�SPIで廁E��E��れる。�?�E
がある�Eかな�E�SPIが動作してぁE��のはインターフェース上ではなく�EロセチE���?、との説明�Eあったから�?�E

ぁE��れにしても�?�回答�E欲しい。静皁E��可フィルタを�?つでも設定するとSPIは効かなくなる�?�とぁE��仕様ならその旨説明が欲しい。さすれば別な機器でこちら�E対処もする�?�早急な回答が欲しいも�E�?。オタクの自尊忁E�?足めE��地悪で質問をしてぁE��のではなぁE�E�?から、E

02/06日現在、最終�E質問をしてから11日経過した、E1日間�?�何�E回答も無ぁE?�E

しかし回答が来なぁE��す�E�?追記:Feb 12 2011

サポ�EトしてぁE��事・してぁE��ぁE���?�できる事・できなぁE���?�それが明確では無ぁE��ら�?�E
「○○�EできるんでしょぁE���E��?�E
から発した質問�?�できなぁE��が判ったらそれにつぁE��はこちら�E機器でそれには対処せ�Eば、と老E��てぁE��の�?が�?�矛盾した回答と要E?�を得なぁE��答と、回答�?�E�E身の
「私にはわかりません。開発に質問をかげますから�?��?�E
との伝�?ゲー�?状態�?��?般人よりはスキルはあるよう�?けれど、ちっめE��突っ込�?と「理解できません」�ETCP/IP知識なら�?�伝�?ゲー�?状態も解消しなぁE��も�?�E

開発のほぁE��は
「単なる宁E�EルータなのでセキュリチE��で完璧を得たぁE�Eなら�Eご�E身で別な機器を用意してもらぁE��ど別な方法を。�?�E
などと�?ってぁE��らしぁE��、それをするためにめE
「あなた方の提供する機器ではどのような仕様になってぁE��の�E��?�E
を尋�EてぁE��の�?が�?�これがかえって来なぁE��
「単なる宁E�EルータなのでセキュリチE��で完璧を得たぁE�Eなら�Eご�E身で別な機器を用意してもらぁE��ど別な方法を。�?�E
を�?ってぁE��とは、Estrong>お前ら�E頭の中に入ってぁE��のは脳みそではなく豁E�Eか~!E��E/strong>と皮肉も�?ぁE��くなってくる、E

  • 任意�EパケチE��に静的フィルタをかけると、発アドレス・宛アドレスが同じでポ�Eトが異なるパケチE��に対してもSPIが無効になる�Eか?ならなぁE�Eか!E
  • 任意�EパケチE��に静的フィルタをかけると、同�?インターフェースを�?�過する他�EパケチE��に対してもSPIが無効になる�Eか?ならなぁE�Eか!E
  • ぁE��れか�?方のインターフェース上で静的フィルタを設定するとSPIも機�E停止するのか?しなぁE�Eか!E
「仕様�EどぁE��ってぁE��の�E��?�程度の質問に対して回答が出て来なぁE�E�?�E�E

「静的IPマスカレード設定�?�と「ワンタチE��設定�?��EwwwとftpとDMZホストへのフォワーチE��ングと「高度な設定�?��EDMZ設定�E設定�E�E��??追記:Feb 12 2011

誤解してほしくなぁE�Eは、�?�静的IPマスカレード設定�?�画面には
「�?�高度な設定�?�画面の�E�WAN→LAN中継設定]と《静的IPマスカレード設定�?�画面の冁E��が競合した�?�合�E、�?�高度な設定�?�画面の�E�WAN→LAN中継設定]の冁E��が優先されます�?��?�E
と書ぁE��ある。このことは質問しなぁE?�でも多�E、混同したり回答としては関係なぁE�Eにこ�EことにつぁE��触れる回答がある�?ろう。やれやれだ、E

で、E

  • 「静的IPマスカレード設定�?�でTCPポ�EチE0番と20・21番に設定した�?�と、�?�ワンタチE��設定�?��Ewwwとftpに入れた数値が異なる�?�合�?�どちらが優先されるんだ�E�E
  • 「ワンタチE��設定�?��EDMZホストに設定した�?�と、�?�高度な設定�?�でDMZ設定に設定�?�が異なった�?�合どぁE��る!E

実験してみた�??DMZと静的IPマスカレード(静的NAPT�E��E兼合い�?追記:Feb 13 2011

  • 「高度な設定�?�でDMZ設定�ELAN側の二つのサブネチE��に刁E��ルーチE��ングすること、でした、E
  • WAN側からのパケチE��はDMZホストとして設定したPCのみにフォワーチE��ング
  • LAN側に対してはホント�ELANとDMZネットワーク間�EルーチE��ングを提供�?�EMZホストでは無ぁE��れどDMZネットワークのアドレス�?よ�?�とぁE��ホストに対してDMZネットワークのアドレスを持ってぁE��いLAN側PCがアクセスできる、E
で、ワンタチE��設定も静的IPマスカレードも、�?�高度な設定�?�でDMZが有効になってぁE��ぁE��LAN側は1つのサブネチE��のみなので、異なるアドレスのホストを用意してアドレス設定してもフォワーチE��ングしなぁE?�もちろんLAN側のアドレスなら�EOK�?、E

で優先�?�E���?��?�高度な設定�?��EDMZ設定で、LAN側インターフェースでルーチE��ングを有効にすると

  • 「高度な設定�?�でDMZホストとして設定した�Eストより�?�ワンタチE��設定�EDMZホストが優允E
  • ワンタチE��設定でwebサーバを公開するとのワンタチE��設定�EDMZホストより優允E
  • 静的IPマスカレードを設定すると、ワンタチE��設定より優允E
した、E


連絡来なぁE���?追記:Mar 02 2011

世間でも困ってぁE��方、E��ぁE��ようで、こんな記事もあった�?�E

ほんと、説明書に�?�?かいてあれば良ぁE��のを�E・・、E

先�?�、�?�二�?�間�?�絡なぁE��れど・・・」とこちらから電話してみたら「開発のほぁE��ら回答が無ぁE��です�?��?�とのこと。そして、今日で更に�?週間経過。なんなんだろう�E�E

NTT EASTめEa href="../welcome/2011/Mar_01.htm">こ�Eペ�Eジを見ると毎日のようにサイトには来てぁE��よう�?が�?�IPv6の記事�Eかり見てぁE��ぁE��、�E身の啁E��サービスにつぁE��説明して欲しいも�E�?、E

AU光�EほぁE���?大速度が�?�いし�?�同�?ISPでも三ヶ月無料キャンペ�Eンに乗れるし、月、E�Eランニングコストが紁E000冁E��くなる�?��Eで乗り換えてしまぁE�Eも手かもね、E

回答が来た!�??追記:Mar 02 2011

静的パケチE��フィルタールールにつぁE��は、こちらが実験して把握したとおりの事が回答としてきた、E

SPIにつぁE��は「�E開してしまぁE��悪意を持った方にクラチE��される可能性を否定できなぁE?��?�とぁE��ことで公開しなぁE��の事�?�しかしこれでは、�?�外部接続�E論理インターフェースに静的IPフィルタを設定したときに、その通信に関るトラフィチE��は冁E��インターフェースでもSPIが効かなくなる�EかどぁE��が不�Eなまま」である、E

インバウンド�Eアウトバウンドでフィルターを設定する�Eではなく�?�E?�E��向�E送E��向�E双方向などと�?ってぁE��トラフィチE��なの�?から、LANからインターネットブラウズする為の開け方とサーバ�E公開�E為の開け方に区別がつかなぁE�Eを気付いてぁE��ぁE��ぁE��。�?�E��向�E送E��向で両方向にならなぁE�Eは発と宛�Eアドレスを特定できるLAN側インターフェース�?けなのに。サーバ�E公開をしなぁE��ーザーなら�EIPフィルタ設定何もしなくてもSPIで守られるの�?ろうが�?�IPフィルタ設定�E許可設定をしたらSPIはあってもなくても同じになってしまぁE��したら�E・・、E

それに、IPフィルタ設定�ESPIより優先するとのことと、何も設定しなぁE��許可と同じでインターネット�EからはルーターまではパケチE��は届いてしまぁE��のことと、でもSPIは効きますとのことと、矛盾してぁE��点の解消もなぁE?�E

もしかして、このペ�Eジを読んでぁE��こちらで解明した事以外�E教えなぁE��もりなのかな�E�E

SPI機�Eを持ってぁE��そ�EフィルタリングにつぁE��の質問に「LANにはルーチE��ングしなぁE��ら届かなぁE?�安�Eです�?��?�とぁE��のはルーチE��ングの説明であって欲しい回答ではなぁE?�動皁E��ィルタリングと動的ルーチE��ング�E�動皁E��ポ�Eトとアドレス変換�E�NAPT�E�動的IPマスカレード)�E同じコマンドで実現する事も可能�?けれど、機�Eとしては別物�?、E

LANからインターネットへの通信のお返りパケチE��を�?�すため、動皁E��ルーチE��ングチE�Eブルを持ち、動皁E��フィルタリングのチE�Eブルを持つ。お帰りに時間が掛かると、ルーチE��ングチE�Eブルのエントリ消失、もしくは、フィルタリングチE�Eブルのエントリ消失で通信は成立しなぁE?��?�常はSPIとNAPTの残存時間�Eにお返りパケチE��は届き、偽裁E��れてパケチE��は残存時間に間に合わなぁE?�E

悪意を持った�?�の良ぁE��は、ルーターまで届いてしまえ�Eルーターの設定を変える可能性を持つ、と�?ぁE��に気付いてぁE��ぁE�E�?ろうか!E

NAPTを使用せず静的な単純ルート設定でルーチE��ングは可能な状態でもSPIとぁE��動的フィルタがあれ�E「�E動ドアは外から�E開かなぁE?�とぁE��のであれば安忁E?�フィルターが設定されておらず廁E��E��れなくてもルーチE��ングしなければパケチE��は届かなぁE?�でも�?�もしかしたら安忁E?��?�E

「動皁E��ルーチE��ングチE�Eブルを管琁E��てぁE��SPI残存時間�EルーチE��ングエントリの残存時間�E事で、エントリ消失によってパケチE��宛�Eがなくなるからフィルタとして実現してぁE��す�?��?�ならそぁE��明すれ�E良ぁE?�E

もし、ルーチE��ングエントリの消失でルーチE��ングしなぁE��でフィルターを実現してぁE��のなら�?�NAT・NAPTを用ぁE��いWAN接続をするサービス�E�褁E���?点を結�E回線としてフレチE��を使用するサービスを想定)�E場合�?�ルーチE��ングは静的設定だろうし�?�NAT�E�NAPTチE�EブルはなぁE��ろうし�?�こんな場合�?�SPIは使用できなぁE?�になる�E�?ろうか!E

SPIを動皁E��ィルタと�?ぁE��がら、フィルタではなくルーチE��ングで通信を�E立させなぁE��明をされてもそれ�E回答にならなぁE��ね、E

今日は�?早く回答が来た!�??追記:Mar 03 2011

正直、僕と開発老E�E間で伝�?してぁE��方がもぁE��しTCP/IPの話が見える人なら�E、伝�?ゲー�?にならなぁE��思ってる�?�この人は、ルーチE��ングとフィルタリングの違いが判ってぁE��ぁE?�SPIは本来NAPTやNATのことを指してはぁE��ぁE?�SPIはフィルタリングの名称�?。しかし、�?��Eートとアドレス変換をしなけけれ�EパケチE��は到達しなぁE��の�?から�E��E��E�」などと、NAPTの話でSPIを説明しようとする。なんか、E
「たとぁEPIが効ぁE��ぁE��くてめEAPTなのでWAN側から到達で来ませんよ�?�E
ってな感じなのかな�E�じゃSPI機�Eを持ってます�?�なんて説明書に書くなよ!だ、Euck!�?、EATやNAPTはルーチE��ング、SPIはフィルタリング�?よ�?�ルートがあってもドアに鍵が掛かってパケチE��転送しなぁE�Eがフィルタ�?からね、E
※�?Linux等�Eiptablesコマンドでどちらも実現できるからとぁE��て、NAPTとSPIは同じと�?ってはぁE��なぁE?�E

それはさておき、こちらも語�E使用を失敗した�?�動的NAPTチE�EブルとぁE��ば良かった�Eに動的ルーチE��ングチE�Eブルと�?った事で、RIPやOSPFなどの動的ルーチE��ングプロトコルを利用した動的ルーチE��ングと捉えられた�?�もしかしてこ�Eペ�Eジの記述を読んでぁE��、意地悪なくらぁE��明後日の解釈�E捉え方をして回答してきたのかも�E�なら�Eとっても�?�格悪ぁE���E�Es>そんなことしてると暗い夜道で「オヤジ狩り�?��E中学生に後�?�部を��属バチE��でひっぱたかれるぞ!E/s>

とぁE��事で、E

  • 動的NAPTチE�Eブルと動的フィルタリングチE�Eブルは同じも�EかどぁE��
  • 同じも�E�?とすると動的NAPTチE�Eブルのエントリの残存時間終亁E��よってパケチE��転送しなくなることをフィルタとして利用してぁE��のかどぁE��
を訂正の質問とすることにした、E

しかし�?�これが�?終的に知りたぁE��とではなぁE?�前提認識をあわせるための作業でしかなぁE?�電話に出てくる人のスキルが�?�???�?�だから、ほんとに効きたぁE��ころにたどり着く�Eにま�?ま�?時間かかりそぁE?�正直「判りません」レベルは勘弁である。この人の知識で「NAPTなのでSPIが効ぁE��ぁE��もいなくてめEAN側にはWAN側からはたどりつけませんよ�?�であっても�?�ルーターそ�Eも�Eにたどりつければ、その人より頭の良ぁE��意を持った奴には「後�EどぁE��でもなるぜ�E��?�なの�?から、E

何度も�?ぁE?�E

  • WAN側インターフェースにはIPパケチE��フィルタで拒否を設定しサーバ�E公開で開ける�Eート�Eみ許可�E�アドレスは「任意発任意宛�?�なので「�?�E��向�?�に設定しても実質皁E��双方向!E
  • LAN側インターフェースではLAN発のパケチE��に対しては何�E設定も無し�?�サーバ�E宛に対してのみ拒否を設定しサーバ�E公開で開ける�Eート�Eみ許可�E�特定�E宛�Eアドレス持E��可能なので「�?�E��向�E牁E��向!E
とした場合に、LAN発パケチE��に対してSPIが効く�E�E�を知りたぁE�E�?、E

V100MではNAPTとSPIが別、E��ON/OFF出来た�Eで
「たとぁEPIが効ぁE��ぁE��くてめEAPTなのでWAN側から到達で来ませんよ�?�E
なんて説明でSPIを説明なしに「納得!�?�なの�?、E
※�?SPIがON/OFFできるからとぁE��て「SPIが効ぁE��ぁE��」とはぁE��なぁE��、�?応形では信じるに値する。SPIがOFFでめEAPTが効ぁE��、LAN側の褁E��ホストが同時に別、E�Eインターネットアクセスが�E来た�E�?から、E
※�?当然に「LAN側の褁E��ホストが同時に別、E�Eインターネットアクセスが�E来る�?��?�からと�?って「SPIが効ぁE��ぁE��」とはぁE��なぁE�Eで、今回のNTT東の電話対応�E人のSPIの説明�EはずなのにNAPTの機�E説明をしてぁE��のは「�EぁE���?�なの�?、E
※�?こ�ERT-S300NEを非NAT・非NAPTルーターとして使用するか�E使用できるか�EおいとぁE��、世�E中には非NAT・非NAPTルーターでSPI機�Eが効くルーターもある�E�?。SPIはフィルタリングの�?葉であってルーチE��ング語ではなぁE�E�?。そして当然にNAT・NAPTはルーチE��ングの�?葉であってフィルタリング語ではなぁE�E�?、E
※�?RT-S300NEに「SPIのON/OFF」が無ぁE�Eは、常時SPIがONとぁE��事ではなく�?�NAPTのパケチE��転送�E可否をSPIのパケチE��フィルタと称してぁE���?け�E事かもしれなぁE�E�?。さすれば電話対応�E人の「開発からはSPIの機�Eとして・・・と説明を受けてぁE��」での話がNAPTの説明と同�?なのも�?�ハチE�Eーん�?�そぁE�?ぁE���E」になる�E�?、E
※�?iptablesのみをご存知の方はNAT・NAPTチE�EブルとSPIチE�Eブルが同�?とぁE��点に「そんなのあったり前ジャン�E��?�とぁE��かもしれなぁE��、世�E中、SPIを実現する手法�Eiptables�?けではなぁE��ぁE��ことに気付いて欲しい。RT-S300NEの開発に関った方はどんな方法でSPIを実現してぁE��か�Eご存知なの�?ろうが�?�利用老E�Eそんなことは知る由もなぁE�E�?、E

そこにたどりつく�Eにはま�?ま�?時間が掛かりそう�?、E
※�?永乁E��たどりつかなぁE��も�E、E

  • 関連記事!Ea target="_blank" href="RT-S300NE/guide/1-r/m01_m16.html">RT-S300NE 機�E詳細ガイチEスチE�Eトフル パケチE�� インスペクション
  • 関連記事!Ea href="hikari.htm">ひかり電話がやって来た!E/strong>


初�E Jan 16 2011
更新 Mar 03 2011


 

�?(C)2003-2011 HIEDA NET Corporation All rights reserved.