YAMAHAヤマハブロードバンドルーターpp select 31
レス数が1000を超えています。これ以上書き込みはできません。
ヤマハルーターを個人で使用する人のための情報交換スレッドです。
旧ネットボランチシリーズと、その流れを汲むNVRシリーズと、
RTXシリーズなど企業向けの機種に関しても設定方法や使い方、
ハードウェア寄りの話題はこちらで扱います。
個人使用の範疇を超える内容や業務用ネットワークの構築・運用に関しては
通信技術板の「YAMAHA業務向けルーター運用構築スレッド」へお願いします。
YAMAHA業務向けルーター運用構築スレッドPart24
https://mao.5ch.net/test/read.cgi/network/1609198305/
両スレッドを臨機応変に使い分けていきましょう。
ヤマハネットワーク製品
https://network.yamaha.com/
ルーター|製品情報|ヤマハネットワーク製品
https://network.yamaha.com/products/routers/
ヤマハネットワーク周辺機器の技術情報ページ
http://www.rtpro.yamaha.co.jp/
前スレ
YAMAHAヤマハブロードバンドルーターpp select 30
https://mevius.5ch.net/test/read.cgi/hard/1607523704/
YAMAHAヤマハブロードバンドルーターpp select 29
https://mevius.5ch.net/test/read.cgi/hard/1595164990/
YAMAHAヤマハブロードバンドルーターpp select 28
https://mevius.5ch.net/test/read.cgi/hard/1585145285/
上記以前の過去スレは、まとめWikiを参照してください。
まとめWiki
http://wikiwiki.jp/yamaha-rtpro/ >>942
深く考えず、4〜5ポートで10GbpsのWAN/LAN対応になればいいなって程度の意味ですた… 初歩的な質問になります。
LAN内のFTPサーバ(パッシブモード・FTP over TLS)を外部に公開する場合、以下のような設定イメージでよいのでしょうか。
・サーバIP:192.168.0.1
・制御用ポート:990
・データ転送用ポート:5000-5049
ip pp secure filter in 51 52 98
…
ip filter 51 pass * 192.168.0.1 tcp * 990
ip filter 52 pass * 192.168.0.1 tcp * 5000-5049
ip filter 98 reject * * * *
…
nat descriptor masquerade static 1 51 192.168.0.1 tcp 900
nat descriptor masquerade static 1 52 192.168.0.1 tcp 5000-5049
ただのFTPの場合と違い、データ転送用ポートをレンジで解放する事にちょっと抵抗があります。 >>955
情報ありがとうございます。
最終的にSynフラグに反応する動的フィルタに持っていこうとは思うのですが、開ける時はレンジで一気に空いちゃうので、そういうもんなのか、もっとスマートな方法があるのかと悩んでいるのでした。 FTPSはFTPと違ってルータがデータ転送用ポートを判別して使うポートだけ開けるとか出来ないから、レンジで開けるしかないと思うなぁ。
動的フィルタは送信元IPがanyで空いちゃうけど、動的NATは送信元IPで決め打ちになるから、レンジで空いてもそこまで心配ないと思う。
(間違った事を言ってたら誰か訂正して…) >>957
それしか無いと思う
使えるならSFTP使う方がいい気はするな
これだったら22番ポート開けるだけだし
sftp以外は拒絶するようにシェルログインとかポート転送禁止しとけば良い >>957-958
情報ありがとうございます。
現在、これで動いてます。
ip pp secure filter in 51 98 dynamic 51
…
ip filter 51 pass * 192.168.0.1 tcpflag=0x0002/0x0017 * 990
ip filter 52 pass * 192.168.0.1 tcp * 5000-5049
ip filter 98 reject * * * *
ip filter dynamic 51 * 192.168.0.1 filter 51 out 52
…
nat descriptor masquerade static 1 51 192.168.0.1 tcp 990
なんかこれだと990ポートはSynフラグ立ってるパケットしか通さないようにも見えるんですが、これで動いちゃってますね…いいのかな?
>>957
SFTPも検討したのですが、使うFTPサーバがSFTPに対応していなかったのでFTPSを採用した状況です。 すいません間違えました、>>957ではなくて>>958-959 >>960
>なんかこれだと990ポートはSynフラグ立ってるパケットしか通さないようにも見えるんですが、これで動いちゃってますね…いいのかな?
そんな馬鹿なと思って試したら、確かに通るな。
ダイナミックフィルタってtcpflug関係ないんか? なんかすいません…FTP鯖の公開なんか初歩の初歩だと言われてここで訊いちゃいました… ただのFTPってルータが勝手にいい風に処理してくれちゃうもんだから、返って初心者には正しく理解されずらい側面があるよね >>963
動的フィルタの動作についてだから、どう見ても初歩的な質問 つーか、ルータでそこまで細かくやりたいならファイアウォール使うべき
なぜそんな苦労せなあかんの >>967
この程度で苦労て。
てか仮にFW使ったとしてやることあんま変わらんやろ。 てか、色々と面倒だし素直に外部にサーバ立てるなりした方が良いのでは?とすら思う >>970
そんなのは環境にもよるし、また別の話だな。
ここはブロードバンドルーターのスレやぞ。 >>960
自分だったらこうしそうだけど、それでいけちゃうのか?
ip pp secure filter in 51 98 dynamic 51
ip filter 51 pass * 192.168.0.1 tcpflag=0x0002/0x0017 * 990
ip filter 52 pass * 192.168.0.1 tcp * 990
ip filter 53 pass * 192.168.0.1 tcp * 5000-5049
ip filter 98 reject * * * *
ip filter dynamic 51 * 192.168.0.1 filter 52 out 53
nat descriptor masquerade static 1 51 192.168.0.1 tcp 990 昔はFTPサーチで検索すると、そこらじゅうに無防備なFTPサーバがあっていたずらし放題だったけど、さすがに最近は減ったね。 ハニーポッド的にわざとFTP鯖立てて解放してあるけど、毎日世界中からアクセスあって楽しいよ。 >>975
わざとログインさせて、何をするか観察するというのはどうか。 >>973
そういやミスターpbxって人が勝手にアップロードしてたな 昔、個人のHDDのデータフォルダそのまんまっぽい感じのFTPにanonymousで入れてしまって、コミックフォルダの整理状況がずさんだったので勝手に整理して、抜けてるファイルは補完して、飽きたのでルートフォルダに警告メッセージを残して立ち去ったのはよい思い出。 今時ハニーポットなんて仮想マシンで簡単にこさえられるので、やろうと思えばいくらでも出来るよな。
ファイルサーバを装うなら、お宝っぽい名前のダミーファイルを並べておくと持っていってくれたり。
ルート権限あげると踏み台仕掛けていくのとかいて楽しい。 >>960
スタティックフィルタと違って、ダイナミックフィルタのテーブルにはTCPフラグの情報が無さげ。
そのためTCPフラグに関係なくポートレベルで通信許可されていて、結果問題にならないと思われる。
心配だったらYAMAHAのサポートに訊いてみるのがよいかもね。 >>982
情報ありがとうございます。
とりあえずこのまま運用してみようと思います。
その他情報下さったみなさん、ありがとうございまいた。 anonymousで入ってもルートとられるバグとかあったら大変でしょ
第一、通信帯域を取られるから速度が落ちるし
自分よりも上手のハッカーが来たらめちゃくちゃに荒らされる可能性があるでしょ これじゃないの
動的フィルタは最初から存在するのではなく、 トリガーのコネクションが現れたときに動的に作られます。
したがって、トリガーの最初のパケットだけは、動的フィルタではなく、 静的フィルタが適用されます。
一度、動的フィルタが作られれば、その後に続くパケットは、 動的フィルタによって通過していきます。 tcpflag=0x0002/0x0017
の意味が分かってない人多そう。
(自分もググって理解した) >>985
その動的に作られるフィルタにTCPフラグが反映されないけど、そういうもんだって事でいいのかっていう話だよ。 >>987
いや動的フィルタにフラグ設定してないだろ
最初にフラグ設定した静的フィルタにマッチしたら動的フィルタに指定したポートが開いて
続くパケットは動的フィルタで既に開いてるポート素通りするんだから >>988
動的フィルタを設定している
ip filter dynamic 51 * 192.168.0.1 filter 51 out 52
の部分で、ここの「filter 51」に指定しているフィルタの内容が、普通なら
ip filter 52 pass * 192.168.0.1 tcp * 990
だろうけど、
ip filter 51 pass * 192.168.0.1 tcpflag=0x0002/0x0017 * 990
ってなってるから、「tcpflag=0x0002/0x0017」の部分は無視されて結果的に同じ動作になってるという事でいいのかどうかって話じゃね? 訂正。
× ip filter 52 pass * 192.168.0.1 tcp * 990
○ ip filter 51 pass * 192.168.0.1 tcp * 990 >>989
>>988は「tcpflag=0x0002/0x0017」の意味が分かってないんじゃ… >>991
その記事だけじゃ今回の指定はどうなるか分からない気が >>989
ダイナミックフィルタの状態確認コマンドから確認した限りそれで結果的に合っていると思われる
ダイナミックフィルターの確認コマンドshow ip connectionの内容でもフラグなどは無いからね
Yamahaの技術情報からは具体的な動作は読み取れないのはわかる >>995
なるほど、show ip connectionで確認すると分かりやすいな。
少しスッキリした。 次スレ建てよううと思ったけど建てられない。
誰か。 >>994
それは違うと思う。
静的フィルターで通った場合、フローテーブルに残っている間はパケットは通過すると思う。その時フラグの状態を見るとは思えない。 このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 177日 23時間 17分 17秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。