ネットワークに関する疑問・質問 Part40
レス数が950を超えています。1000を超えると書き込みができなくなります。
マルチポスト禁止
http://www.ippo.ne.jp/g/71.html
質問と一緒に書くこと:
・ 環境(OSのバージョン、機器やソフトウェアの名称)
・ 状況(エラーメッセージ、場所の名前など)
・ 試行(やったこと、調べた内容など)
質問はage進行
名無しの質問者が追記する場合は
名前欄に最初の書き込み番号を入れること
回答が書き込まれたら
後学のために結果を書いておくことを忘れない
前スレ
ネットワークに関する疑問・質問 Part39
https://mevius.5ch.net/test/read.cgi/hack/1612935664/ >>849
詳細な構成もわからないししかもいじれない?ならどうしようもないんじゃないか
会社としてやるんだからいじれないはイミフすぎる…
拠点間VPNはなにでやってんのよ >>850
はい、スプリットトンネリングは禁止されてます
>>851
身バレ避けるためぼかしますが、本社で色々設定してて
支社側では変更できないところが多いです。
支社社内でも企業ネットワークには直接つなげないため、
PCをローカルのサードパーティWi-Fiに繋いだあと
規定のVPNツールを起動して企業ネットワークに繋げています。
この状態でWi-Fi上のプリンタに接続できない状態です それかローカルプリンタにUSBケーブル ー USBハブを接続して
VPN都度切って印刷出来ない人は、このUSBハブに接続して印刷、とかですかね >>852
それなら>>845の4,5を>>561手順かな
そこまでの本社なら企業ドメインとやらに接続してる端末間も塞いでる気もするが >>853
USBそんなに自由なの?
それかストレージだけ塞いでんのかね
それできるんならそれも選択肢なんだろうけどなー
なんというか >>854
ありがとうございます。試してみます
>>855
USBに制限はあり、もしかするとプリンタ出力もブロックされるかもです。
はい、Wi-Fiで本来やるべき事を時代錯誤的にUSBハブ経由とするなど
嘆かわしいやり方ではあります
>>856
ありがとうございます。盲点でした。試してみます やめちゃえば?
自分でアーキテクチャいじれないインフラとか見てても面白くない 目の前のプリンタが使えないPCなんてゴミやんか。
本社様に何とかしてもらうしかないんじゃ。 >>844
その通りなんだけど、どこもライセンス料が高くて中々ね
形態的に売り上げ上限もほぼ決まってるし
金の問題じゃないとはいえね… パケットキャプチャスレに人いないんでこっちで質問なんだが
ある機器がどのIPと通信してるか、どのポート使ってるか列挙したい。そして列挙されたうちの任意の通信をブロックしたい。
あとからリストを見てブロック対象をじっくり吟味するってよりはn秒以内に接続してきたIPを列挙して選んだ通信を即ブロックみたいなことがしたい
パケットキャプチャアプリを使ったら通信を見ることはできたけど、あくまで見れるだけでブロックとかできない。
一般的にこういうことをしたい場合はどうすればいいんだろう?
LANポート2つついたPCを目当ての機器に接続してリピータ兼ファイアウォールみたいに機能させたりしないとだめ?
詳しいやつ頼む 何がしたいのかがよく分からん
普通は事前に許可した通信しか通さないようにするもんだよ
FWでモニタなりログなり取れる トロイられてbotになってるIoTを、でも使えてはいる(Webcamとか)から使い続けたいけど、みたいな話に見えた
ここでおまえじゃムリだみたいなことを言ってもしょうもないのでそれはいわんけど、もう少しなにがどうしていてどうしたいか詳しく書け
たとえば
Webcamが外部と怪しげな通信してるからそれは防ぎたい
一方でLANだけでなく外部からの正当な接続は通したい
Webcamは〜〜を使ってる
くらいは最低限ないと意味わからん
> n秒以内に接続してきたIPを列挙して選んだ通信を即ブロ
「なに」を起点にn秒なのかイミフ
「選んだ」はいつだれ(なに)が選ぶのかイミフ
まずはそっちから詳しいやつ頼むわ >>862
いやいやSPIとかあるじゃんよ
まあ今回の件がどうかは別として 初心者の質問申し訳ないです
うちは長年光のルーターに無線LAN親機を付けて1階の父のPC、
2階の私と兄のPC、私と兄のスマホ、私の3DSをWi-Fiで使っています
さて、ずっと閉鎖していた2階のトイレを数ヶ月前直していただき、使えるようになりました
ところが困ったことに、2階トイレでスマホをいじるとWi-Fiが届かず、モバイルネットワークになってしまうのです
ワイモバイルの契約で3GBまでしか使えないのですが、このトイレのせいでかつかつです
無線LAN 中継機というのがあるのを今知りました
これは一階の無線LAN親機とは同じメーカーでなくていいのですか?
初心者で申し訳ないのですが、初めて知ったものなのでどう使うかわからなくて……
例えば中継機を私の部屋のコンセントに挿して設定したら、2階の電波状態がとても良くなり、
2階トイレでもWi-Fiがちゃんと使えるようになりますか? >>861
たぶん別のアプローチ考えた方がいいからそもそもどういう事情なのか正直に書いた方がいいぞ
一般にそういう発想で自動でブロックってSOARなりになるけど、どうせ金はないとかだろ? >>866
まずは「無線LAN親機」の型番をどうぞ
なお一般的に中継器で範囲を広げることができます
しかしそれも親機次第 >>871
使えます
ただしどの中継器が最適かまではなんとも言い難いところがあります
同一メーカーの現行品ではこれらが使えるようです
https://www2.elecom.co.jp/network/wireless-lan/relay/index.html?category=group-02+client-personal
端的に言えば高ければ高いほど、ハイパワーで隅々まで届き、また設置アドバイス機能などもあります
安ければ手探りでどこに設置するか決めることになります
一般的な中継器なら他社でも繋がるとは思いますが、何かあったときのサポートを考えるとメーカーを揃えた方が無難かも 返事が遅くなり大変申し訳ありません。回答ありがとうございます。
家のルーターのwifiを使ってネットサーフィンをしてますが、端末(スマホ、pc、タブレット)がなんであれ履歴がバレてしまいます。スマホは家で使おうが外で使おうがバレてしまいます。何かしらの監視アプリが入ってるかもしれませんが、色々探してみましたが怪しいものは見つかりませんでした。
直接自分のスマホやpcのブラウザを見られるということはありません。
なのでどうして履歴がバレてしまうのか正直分かりません。
vpnも以前筑波の無料のもので試してみましたが、ちゃんとやれてるかどうかわかりませんでしたがダメでした。
ネットの難しい事を親が理解してるとは思えないですが、なぜバレるのか分かる方いたら教えてほしいです。
長文失礼しました。 すみません、>>840ですが
どなたかアドバイス頂けたりしないでしょうか?
不足している情報などがあればご指摘下さい >>875
ばれるって、どの程度なの?
いつどこのサイトを見たかまでばれてるの? >>876
IPアドレス直打ちでなら、WiFiにぶら下がったスマホからアクセスできることがあるからやってみ
プリンタはちょっとわからんが。
WiFi親機がブロードキャストを子機に取り次いでくれないのかもしれぬ。 >>867
PtPのシステムとかゲームとかで特定のセッションを切ったり低速愛泉のエミュレーションしたりしたい。
5万くらいの専用機とか型落ちPC用意するくらいはできる ラズパイでできると嬉しい。 >>879
これとブロックをiptablesで頑張るくらいしかないんじゃね?
ttp://dsas.blog.klab.org/archives/raspi-netem1.html
iptablesのログ全部出して特定文字列が出たらswatchからスクリプト実行とか 初心者です。教えてください。
社外ネットワーク以外にスタンドアローンでパソコンをインターネット用で設置しています。
そこで質問ですかわ、
@このパソコンの閲覧履歴や操作履歴のログを確認する場合、通信会社に請求すれば開示してもらえるものなのでしょうか?
Aまた、パソコンの操作のログ、例えば、usbに保存などの操作は、通信会社では分からないのでしょうか?
Bまた通信会社がログを保管している期間て法人の場合ならいくらぐらいなのでしょうか? >>881
「イベントビューアー」で操作ログを収集する方法以外でお願いします。 >>881
@
正当な理由がなければ開示されません
また閲覧履歴もごく一部分しか分かりません
時間と相手先IPアドレスくらいが関の山
操作履歴は通信会社の知るところではありません
A
分かりません
B
一般的には三ヶ月ていどと言われてます >>833
家のルーターでネットサーフィンしてもバレますし、スマホ(ドコモのキャリア)は外で使っててもバレます。
pcは共用ではなく自分専用です
>>835
スマホに関してはそういった何かしらのサービスを使ってると思います >>885
よっぽど親に信頼されてないんだな。
そもそも何かアプリでも勝手に入れられていない限り、そこまで詳細に個人のパソコンや外でスマホを使ったときにまでどこのサイトを見たかなんて第三者には分からないじゃないの。 >>885
筒抜けになると何が都合悪いの?携帯取り上げられるとかかね
親としっかりコミュニケーション取って履歴見ないでくれとお願いするのが一番だ
隠れてコソコソやるの面倒でしょ
ところで君何才なの? フレッツ光ファミリーハイスピードなんですが、15mのLANケーブルでルータのある離れた部屋から
回線引いてるんですけど、どうにも速度が遅いです。同じケーブルでルータ部屋にpc持ち込み繋ぐと
フレッツ測定サイトでほぼ200Mbps出るのですが、離れたこの部屋まで持ってくると1/3程度に低下
してしまいます意味不明です。可能性として何が考えられるでしょうか。 PCのネットワーク設定が無線LANになっている
又は完全に気のせいで離れた部屋まで持って行ってる時だけフレッツの回線スピードそものものが落ちている >>892はケーブルを這わせている場所のどこかで強力なノイズ源が近くにあってということ やっぱり何かしらのノイズですかね、そこらへんもさっぱり心当たりがないのですけど。
それと気のせいではなくて、普段離れた部屋で使用しててこんなもんだろと思ってたのが
ケーブルのトラブルでルータ部屋に移動して初めて速度差に気づいたのです。 速度測定してるPCがそれぞれ別PCとかじゃないよね PCは別々のデスクトップですがAmazon Fire TV上のFast.comでも同様に高い数値が
出てましたし、同じそのハードを離れに持ってくとやっぱり数値が下がるわけで。ところ
がメインセッションの復旧後にルータ部屋+Fire TVで再計測したところ、なぜか離れと同じ
速度しか出なくなってました。とりあえず以前と同じにネットできるようにはなったので、この
件はもうこれでおしまいにします。お騒がせしました。 >>880
アリガトゴザイマス(*'ω'*)ラズパイポチりました。 >>885
PC系の場合、ルーターのLogおえば全部丸見え。でも、フツーのルーターなら接続先(IP)追うぐらいだから、全部丸見えならキーロガーとかデスクトップキャプチャとかだね。だってIPだけじゃ何してるか解んないし、面倒だモン。キーロガー&デスクトップなら、カキコ含めて全部明白だからね。
でも、外もスマホも追うなら通信系にヒト噛みさせてなきゃダメだな。モバイルセキュリティ系か常駐キャプチャ系か・・・。家のAP使ってるならPCと一緒で「接続先IP、ゴチです!」で判明するが、振る舞いはロガー仕掛けなきゃダメだから微妙。ルーター手前SWでパケットキャプチャすれば全部丸見えになるが、Log解析面倒だから「ソコまでする理由があるのか?オイオイ」という奴になる。
キャプチャ系は俺が子供端末に仕掛けてた手口だから、まぁ「親心」と思って享受したら?
ちなみに俺は子供にキチンと「キャプチャしてるからな!(手口は言わないけど)」と宣言してた。
ソレが嫌なら、自分で稼いで契約するこった。自契約なら、自力で枷は外せ。 親もいろいろだな
うちは高校生からスマホ持たせたが決済・課金だけ不可にしてあとは放任してた
監視するスキルがないというのもあるが信用してやって自分で判断して自制することを覚えてもらいたかったので そんなものごと単純化して実質放任なのにいい親やってます話をここでするのか ストーカーみたいに監視するくらいならいっそのことスマホ持たせなきゃいいんでないの。 子供の監視が目的になってるよね
機材の購入・設定、サービスの導入とかどんどんエスカレートし続けそう どこで聞けばいいか判断がつかないのでスレチですが質問です
スマホ(GalaxyS10)で光回線を使った際、特定のアプリ(Amazonや出前館など)で通信を全くしません
○スマホで別回線を使う場合
○別スマホ(iPhone11)、iPad、pcで光回線を使った場合
○スマホで光回線使用し、アプリでなくブラウザからアクセスする場合
はアクセスできます
Galaxyのosやアプリのアップデートはしましたが改善しませんでした
なにか原因は考えられますでしょうか? >>903
DNSを変えてみるGoogleのやCloudflareのとかに
スマホのを変えてもダメならスマホのを戻してからルーターのを変える >>903
再起動は?
変更したネットワーク設定は?とくにプライベートDNSは?
使ってるアドブロッカーは?その設定は? ネットに書き込みしたら、職場に同じような感じのものが飾られるようになったんだけど。
桃の話題→ももゼリー、セックスの話題→コンドーム、五等分の花嫁のアニメ→アニメのお菓子
まあ、次の日にそういうのが届くとかある訳ねえんだけどさ
ウィルスソフトも入ってるし、Zone Alarmも入ってるんだけど、ハッキングとか無さそうなんだけど、
どこを探したら、犯人って特定できるの?プロバイダ?それとも、マンションの同じ住民かな? >>898
ありがとうございます。
めちゃくちゃ勉強になります SNS覗かれて行動を監視されてるとか怖いよね
とりあえずLINEやTwitterのパスワードを意味のない12桁の文字列に変えるとか2段階認証にするとかしてみる
それでもストーキングが続くようなら端末交換するしかないよね
たぶんTwitterの非公開リストを途中で公開にして非公開に戻したからリスト外の相手に通知が届いてるみたいなパターンだと思うけれど 医療機関へのハッカーの攻撃がニュースになってました
エンジニアが遠隔保守時に使用したVPNが原因のようですが、
ハッカーはどうやってVPNを行っている通信に侵入するんですか? VPN通信中に、まるで漫画やアニメのようにその通信コネクションに割り込むわけもなく
極端に単純化すればWebcamやホームルーターを乗っ取られるのと似たようなものなだけでしょう
保守会社からの漏洩、VPN設定そのものの失策(ルーターなどにおけるadmin:admin同類)、定番機材の脆弱性、内部犯などが考えられます
スーパーハカー()というより弱いところを攻めての金稼ぎでしょう
いまはランサムばかりなんで 5chの書き込みとか監視ってできる?誰かずっと、監視してるような感じなんだけど。
IPが表示されてなくても特定の人の書き込みって監視できるの? 可能不可能であれば可能
コストも時間もかかるのでそれほどの価値が対象にあるなら仕掛けられてもおかしくないが、そこまで手間をかけるなら5chの監視のみに限らずであろうよ 意味が伝わらないんだけど、ネットの全般の監視みたいなんだよね。携帯電話からPCなどインターネット回線
全部。どれを使っても掲示板に書き込みに関連した商品やグッズみたいなのが置いてあるの。
何の意味かなって、どうでもいいんだけど、どういう職業の人がネット通信をリアルタイムでモニターとかできる訳?
警察とか?それとも、プロバイダの協力有りの場合? あまりに情弱過ぎてスマホやPCにロガーやトロイ置かれてるか
リターゲティング広告をかってに被害思いこみしてるか
ただの妄想
調べるだけなら100万握りしめて専門業者にいけ スレチだったらごめんなんだけど、ネットワーク初学者として適当な入門書読んでる
一文に「ファイアウォールを利用して内部から外部への通信を遮断し、プロキシを利用して外部とC&Cサーバの通信を遮断」
ってのがあるんだけど、内部から外部への通信を遮断するのってFWだけじゃなくてプロキシもできたりする?
逆に、C&Cサーバとの通信を遮断するためにプロキシではなくFWを利用するのも有効? プロキシを利用して外部とC&Cサーバの通信を遮断
↓
プロキシを利用して外部のC&Cサーバとの通信を遮断 接続先をブラックリスト形式かホワイトリスト形式で絞ると出来るね
単純に宛先のURLだけでなくレピュテーションだったりサイトのカテゴリだったりでも制御できる
ただプロキシは対応プロトコルが限られる
>>913
少し前に話題になってたね
VPN装置の脆弱性をついて侵入した先で、目標が丸見えだったんじゃない
直リンは避けるが 医療機関を標的としたランサムウェアによるサイバー攻撃について で検索するとわかる >>920
少し読み込み不足の文章があるのではないかな
その説明は↓みたいなもんだと思うよ
FWで外部との通信を許可するのはプロキシのみ
その他端末はインターネットとの直接通信は禁止(FWで禁止)
端末上でマルウェアが活動してC&Cサーバと通信しようとしても
FWで止められる LANハブの動作確認しようとして光ルーターからのLANケーブルとパソコンへのLANケーブルをつなぎました
Googleなど一部のサイトには繋がるのですが、
(F5押すと最新のニュースが表示されるのでキャッシュではない)
それ以外の大抵のサイトには繋がりません
繋ぐ場所を変えたり、違うパソコンで試しましたがうまく行きませんでした
これって何が悪いのかおわかりになる方おられますでしょうか >>925
光ルーターやらとPCを直接繋いだらどうなるの? >>920です
>>922-924
ありがとうございます。
原文引用すると「ファイアウォールを使って内部から外部への通信を遮断する。プロキシサーバで外部のC&Cサーバとの通信を遮断する」
でした。 設定のイメージとしては
ファイアウォールの宛先はホワイトリスト(事前に登録していた端末にしか送信しない)
プロキシサーバでは認証設定をオンにする
という感じでしょうか?FWもPROXYも設定したことがないのでイメージがあやふやですが… いまどきそんなザルはないのでは
アプリケーションゲートウェイ(プロキシ)でもパケットヘッダくらいは見て正当性を判断する
むしろプロキシ設定が無意味化してるのでステートフルインスペクションが主流じゃないかな >>927
それだけじゃ危ないかな。補足すると、FWで出来るのはポート/&or/IP単位での通信制限ぐらい。
なので、実際のやり取りは「シラネ」が現実。
IDS/IPSならパケットパターンやペイロードで追えるが、「工夫をこらしてかいくぐる」ようなペーロード/パターンまでは追えない。https使っているなら、尚更だ。ポート全閉(ステルス)なら有効だけど。
Proxyなら基本「Web通信以外のパケットはRouterで全遮断」しても通信維持できるし、ペーロードも(SSL偽装すれば)全部手の中に入る(一般に多いSSLフリーのProxyならダメだけど)。でも、Proxy使ってもペイロードまでの細かなパターンルール作るのは現実的に「無理」だから、実質C&Cとの通信を遮断するまでには至らない。コマンドレベルじゃPOSTとGETしかないんだし、その中身を識別選択するなんざ、それこそ「AIの仕事」レベルだよ。もっとも、Proxyそのものに脆弱性を抱えてりゃ、ソコを突かれるリスクはある。
なので、今の現実解は2つ。
・C&C(URL/IPで判別)向けの通信を遮断する。
・マルウェアのが行うC&C通信そのものを遮断する。
前者はURLフィルタとの連携、後者はPC側のセキュリティだけだね。
もっとも通常のAntivirus/EDR系じゃ、後者の遮断はムリゲーに近いと思うがね。Antivurusはルール(ワクチン)が無い限りダメだし、EDRは「情報を明らかにする」がソレはヤられた後だしね。
だから、AppGuardのような「極端なセキュリティ」が最後の砦になる。IT/NWセキュリティは、もうそうい世界に入ってます。 なぜPPPoEのフォーマットはEthernetヘッダとIPヘッダの間に独自のヘッダを挟めるの?
https://www.infraexpert.com/study/wan9.html
Ethernetのフォーマットの可変長データのところに上位フォーマットのデータが入るんじゃないの?
通信のフレームの概念ってそういうものだと思ってたんだけど
PPPoEでは下位フォーマットのヘッダに独自ヘッダを挿入しているように見える あpppoeはl2なのか
over ethernetと言ってるけど、ethernetはL1とL2に跨る規格で
L2部分はpppoe独自フォーマットなのか
l1がethernetの物理規格、l2はethernetに類似した独自フォーマットなんだな IPoEのover ethernetはL2も完全にethernetなのか?
だとしたら用語的に分かりにくい >>934
PPPoEは、
・フレームの構造は単にEthernetの上にPPPがあってその上にIP
・L2は普通のEthernetだから普通のスイッチを通ってMACアドレスで捌かれる
・上位(IP側)から見たらL2はPPP
つまりトンネリング
PPPoEのサーバとL2(Ethernet)で通信し、その上のL2(PPP)のVPNで繋がるイメージ
IPoEはLANと同じで、Ethernetの上にそのままIPが乗る
PPPoEと区別するために名付けただけ わかったかも
PPPoEは単にEthernetの可変長データ部にPPPoEヘッダとPPPヘッダを入れてる、
とも解釈できるのか。
でもPPPoEはL3プロトコルとみなされずL2扱いか
パケット前半にEthernetヘッダがあるからEthernetフレームとして処理できると
PPPoEは「Ethernetに8バイトのヘッダを付け足して、可変長データの最大バイト数を8削ったフレーム」
ということだな
もしPPPoEを全く知らない機器がPPPoEパケットを処理すると
PPPoEヘッダとPPPヘッダはIPパケット(というか可変長データ部)
の頭に変なデータが紛れ込んでるように見えるのかな PPPoEはレイヤー2.5みたいなプロトコルだな
over Ethernetというが、PPPoEは可変長データ部が8バイト小さくなってしまう
その点で100%完全なEthernetではないんだろうな
L3以降のプロトコルはL2以下の可変長データ部のサイズが変更されても問題が生じないように定義されているということか LAN(Ethernet)を使わないダイヤルアップPPP時代から学びなおしたほうが良いのではないかな パケットキャプチャみるのがわかりやすい
https://packetlife.net/media/captures/PPPoE_Dual-Stack_IPv4_IPv6-のwith_DHCPv6.cap
RFCのIntroductionにあるようにEthernetでPPP運ぶために作られらもの
「PPP over Ethernet (PPPoE) provides the ability to connect a network of hosts over a simple bridging access device to a remote Access Concentrator」
EthernetのヘッダはL2SWで処理できるものなので普通に通ります PPPはいまの時代わかりにくそう
VPNって表現で理解させるのはあながち悪くないかも
簡易VPN?ローコストVPN?
でもrouting面で見ると別物で安易にVPNで理解されると困ることにもなりそう 少なくともフレッツではまさにVPN
以下はADSL時代の資料だが、ADSLの部分のL2であるATMが無くなったくらいで、上の方は今もあまり変わってない
https://www.infraexpert.com/info/6adsl.htm
図ではRouterとBASがVPNを構成 https://www.infraexpert.com/info/6adsl.htm
の絵は少々紛らわしい印象ですね
PPPoEが使われる区間はRouterとBASの間になりますが、
その絵ではDSLAMがPPPoEを終端してるようにみえるのと
L2TPはBAS(LAC)とNTE(LNS)間で確立されますが
DSLAMとBAS間にみえてしまいます VLANについて調べててはっきりと分からなかったんですが
例えば
ポート1: 192.168.1.1/24
ポート2: 192.168.2.1/24
として、違うセグメントとの通信はさせたくないわけですが
ポート2に固定IPで192.168.1.xと設定したPCを繋ぐとポート1の機器と接続できてしまう、なんてことは無いですよね まぁルーティングできるものが無きゃ
VLAN 関係なくそもそも通信出来んわな >>947-949
どうもありがとう
RTX830とSWX2110-8Gです
VLANって多くは通信を制限するために使うと思うので少なくとも通信できないようには設定できるとは思ってたんですが
仕組みの説明はあっても、>>946のようにはできないってはっきり書かれてなかったので心配になってました
それに一見できないように見えて抜け道があるか、というところもわからないので
もう少し勉強して設定してきます >>950
VLANは通信を制限すると言うよりスイッチを分割する見たいなイメージの方が良いよ
例えば8ポートのスイッチを4ポートのスイッチ2台として使う見たいな
RTX830に192.168.1.0/24、192.168.2.0/24両方持たせた場合
VLANで分けた場合でも、VLAN分けずにセカンダリIPを使った場合でも
RTX830がルーティングしてしまうので相互に通信出来てしまう
なので、違うセグメントと通信させたく無い場合は
192.168.1.0/24→192.168.2.0/24
192.168.2.0/24→192.168.1.0/24
は通信を禁止
みたいなIPパケットフィルタを設定する必要がある レス数が950を超えています。1000を超えると書き込みができなくなります。
