もう14時か、
2ちゃんねる ■掲示板に戻る■ 全部 1- 最新50 [PR]女性必見!ネットで高収入バイト[PR]  

イーアク他CE系AtermDR200/DR300/WD600シリーズ4

1 :名無しさんに接続中…:2007/01/31(水) 08:36:18 ID:lGMb5d2A
前スレ
イーアク他CE系AtermDR200/DR300/WD600シリーズ3
http://pc10.2ch.net/test/read.cgi/isp/1071737105/
イーアク12Mモデム Aterm DR202C
http://pc3.2ch.net/test/read.cgi/isp/1040098118/
イーアク12Mモデム Aterm DR202C その2
http://pc4.2ch.net/test/read.cgi/isp/1045340396/

HI-WIND ADSL 
http://member.nifty.ne.jp/hi-wind/adsl/

前スレ15さん作。ビットマップやモデム詳細情報などを
確認できるユーティリティソフトDR utilityを提供してくれてます。

それでははりきってまいりましょう。


2 :名無しさんに接続中…:2007/01/31(水) 10:53:50 ID:02UzYBjs
これからもAterm DR202Cを使い続けるぞ。

3 :名無しさんに接続中…:2007/01/31(水) 14:53:31 ID:WR5d8HxW
>>1
WD606CVの新参者だけどよろしくです

4 :名無しさんに接続中…:2007/01/31(水) 14:57:59 ID:WR5d8HxW
ついでにDR320CV DR304CV DR302CV のファームが上がったようで

5 :名無しさんに接続中…:2007/02/04(日) 23:44:46 ID:01W1j7BT
フレッツADSL(12M)で、DR202C使用中。(^^)v
予備もヤフオクでGET済み。

IP電話付のモデムも試したけど、
有線電話はそんなに使わないから、IP電話はやめた。

6 :名無しさんに接続中…:2007/02/05(月) 04:48:20 ID:O8cSvCNE
12MのプレゼントでWD605CVもらって使ってるが、同回線で比べてWD302CVや
MS4に比べてかなりLink速度いい。モデムの性能差もけっこうあるよなあ。

7 :名無しさんに接続中…:2007/02/05(月) 21:18:28 ID:zwBu/qwD
>>6
特にリンク速度が低い程、新型モデムの効果は大きいんじゃないかなぁ。
リンク速度2M以下なら、新型モデムを試してみるのも良いかも。

今住んでいる場所だと、DR202C 、フレッツ12Mで、
8Mを切る位でリンクしているから、これで十分なんです。
(LINK速度 500K程度上がったとしても、あまり変わらないんで)

8 :名無しさんに接続中…:2007/02/08(木) 02:54:20 ID:N0q8ozRl
WD606CVを無線ルーター化したのですが
挿した無線LANカードの「PWR」ランプと「ACT」ランプが常時同時に点滅しています 。
これは常時点灯ではなく点滅しているものなんでしょうか?
フタを閉じていてもちょっと目障りなものでorz


9 :名無しさんに接続中…:2007/02/09(金) 08:56:25 ID:BcgbKAJs
605CVより、V1モデムの方がリンク速度高かった。
実効速度は変化無かったけど。

10 :名無しさんに接続中…:2007/02/09(金) 23:52:40 ID:086GLy+v
DR202C使ってるけど、telnetでログインして色々やってみると面白いな。

11 :名無しさんに接続中…:2007/02/12(月) 06:50:00 ID:nGQ/8Wb6
>>8
点滅しているよ。
LEDに黒いテープか紙でも貼ったら。

12 :8:2007/02/13(火) 23:57:13 ID:C1ih5QHY
>>11
レスありがとうございます
ところで11さんのカードは純正のWL54AGですか?
私の使っているのは純正でないからこうなるのかなと思いまして・・・
使えてはいるんですが点滅することでモデムに負担がかかっているのでしょうか?

13 :11:2007/02/14(水) 06:13:37 ID:08Lcz8EC
>>12
NETGEAR のWG511Uです。
負担があるかどうかはわかりません。
今はWD605CVで、以前は606を使ってましたがハードのトラブルは全くなかったので影響はないように思いますが。

14 :名無しさんに接続中…:2007/02/15(木) 14:46:03 ID:hu4roF6H
>>12
WL54AGをWD606CVで使ってるけど、点滅してるよ。

15 :名無しさんに接続中…:2007/02/15(木) 17:06:46 ID:Zda8WbHH
>>12
俺も>>14と同じ。
寝るときは多少気になるがしょうがない。

16 :8:2007/02/16(金) 00:16:38 ID:iXIt49zF
>>13
もしかして前スレでWG511Uが動作可能と報告してくださった方ですか?
だとしたらその節はありがとうございました
それを見てWG511Uを購入して使用しています

>>14>>15
ありがとうございます
純正と同じ動作だと分かりスッキリいたしました

17 :名無しさんに接続中…:2007/02/18(日) 22:21:48 ID:vX0MBIDQ
AtermDR200/DR300/WD600シリーズってMTU値は変更できるの?

18 :名無しさんに接続中…:2007/02/19(月) 04:34:41 ID:71Zd6SBB
telnetで入ってentry wan 22 ppp mtu 1500とかで変えれるみたいだけど、
動作してるかは知らないw

19 :名無しさんに接続中…:2007/02/19(月) 18:37:05 ID:yHHwZUiI
WD701CVをShield UP!でみたら、ほとんどClosedになっている。
これをstealthにするのにパケットフィルタ設定はどうしているのですか。
Closedでも問題なしといえるけど、Stealthにほうがより安全と思うのですが。
ttp://www.grc.com/

20 :名無しさんに接続中…:2007/02/19(月) 19:40:56 ID:3fkH9O69
>>19
http://pc10.2ch.net/test/read.cgi/hard/1165101492/887

21 :名無しさんに接続中…:2007/02/19(月) 20:50:37 ID:yHHwZUiI
>>20
それだとClosedのポートは使えないってことにならないかな。

22 :名無しさんに接続中…:2007/02/19(月) 21:03:45 ID:c1dWHlnV
>>21
使えない(拒否または無応答)=Closedまたはstealth
使える(アプリが待ちうけ中)=Open
だからそれで問題ないよ。
そのポートを使いたくなった時に再設定すればおk。

23 :名無しさんに接続中…:2007/02/19(月) 21:27:37 ID:yHHwZUiI
>>22
詳しいことはわからないけど、こちらからリクエストした場合はStealth、Closedともに開くよね。
だけど静的NAPTは、ポートにきたパケットを使ってないアドレスに送るためリクエストに応えなくなるのじゃないかと思ったもので。

ロ50 v50 拒否 * localhost/255.255.255.255 TCP * 0-1023 順方向

でとりあえずStealthになったけど、これだとデフォルトのフィルタとかぶっているけどいいのかな。

24 :名無しさんに接続中…:2007/02/19(月) 21:47:51 ID:c1dWHlnV
>>23
例えば、使われていないアドレス192.168.0.254へTCP80番を静的NAPTしたとして、
こちらの送信元としてTCP80番を使った場合、
相手からのTCP80番への戻りパケットは192.168.0.254へ送られるのではなく、
送信元としてTCP80番を使ったPCへ届くはず。
Atermは使った事ないから機種個別の事はわからないけどね。

でも、ステルスになるよう設定しても、それほど意味は無いと思うよ。
セキュリティ設定というものは、既に敵から発見されている前提、
攻撃を受けるという前提で設定するものだと思うからさ。

25 :名無しさんに接続中…:2007/02/19(月) 22:31:29 ID:yHHwZUiI
>>24
レスサンクスです。よくわかりました。

26 :名無しさんに接続中…:2007/02/20(火) 03:42:32 ID:Ly/0nsbn
>>23
かぶってる時はエントリナンバーの小さい方が優先されるから問題なし。

>>24
変にポートマップなんかしておくとUDPに穴開かねぇ?

27 :名無しさんに接続中…:2007/02/21(水) 13:04:17 ID:0kzUqDlT
650ってリンク切れやすいよな('A`)

28 :名無しさんに接続中…:2007/02/22(木) 01:47:26 ID:pKk2ekjr
650って何じゃ?

29 :名無しさんに接続中…:2007/02/24(土) 21:36:43 ID:uQnzds4U
質問があるのですが、
無線LANを導入致しました、アクセスポイントにルータ機能が付いていたので、
ためしに、WD701をpppoeブリッジモードにして、無線LANアクセスポイントを、
ルータ設定にしてみました。

接続は普通に出来たのですが、ここで疑問が

この場合、pppoeブリッジに設定したWD701(192.168.1.1)の設定画面を開くことは出来るのでしょうか?

一応、ルータの向こう側にいるので、ローカルアドレスはルーティングされないから無理ですよね?

設定をやり直したい場合、無線LANアクセスポイントのルータ設定を解除して、
無線LANアクセスポイントのLANポートに繋ぎなおす(ルータの場合、WAN用ポートがある)必要がありますよね?


30 :sechttp635.sec.nifty.com:2007/02/24(土) 22:08:09 ID:c+qCfaXw
>>19

常時安心セキュリティなら全てステルス

----------------------------------------------------------------------

GRC Port Authority Report created on UTC: 2007-02-24 at 13:06:54

Results from scan of ports: 0-1055

0 Ports Open
0 Ports Closed
1056 Ports Stealth
---------------------
1056 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: PASSED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.

----------------------------------------------------------------------


31 :名無しさんに接続中…:2007/02/26(月) 01:00:26 ID:UsiP3J7N
>>30
ルーターの設定でどこが変わったか分かりますか。

32 :名無しさんに接続中…:2007/02/26(月) 02:42:13 ID:KJ1ReaWZ
セキュリティの第一歩は、モデムからrouter機能を取り去ること。
このrouterは、NECがアメリカからぱくったものだと思うけど、source codeはない。
自前でrouterくらい用意しなきゃダメでしょう?

33 :名無しさんに接続中…:2007/02/26(月) 16:59:28 ID:vTIBC4fC
>>32
むしろ2重ルータ

34 :名無しさんに接続中…:2007/02/26(月) 17:43:25 ID:ahnb2dkf
>>32
ブリッジにしたらIP電話が使えない。

それに付属ルーターでステルスになるなら、どういう設定にしているかを知りたい。
別途ルーターを用意するのは、解決策でなく代替え策。

35 :名無しさんに接続中…:2007/02/26(月) 18:15:28 ID:bMUm9DD8
>>34
> ブリッジにしたらIP電話が使えない。
市販のIP電話アダプタやIP電話機を使えばおk

> それに付属ルーターでステルスになるなら、どういう設定にしているかを知りたい。
>>20のリンク先コピペ
> 887 名前: 不明なデバイスさん [sage] 投稿日: 2007/02/18(日) 06:23:50 ID:GRoXqZ+o
>>879>>883
> 拒否 (拒否パケットを送信)のポートは、LAN内に存在しないアドレスへ
> 静的NAPTすればステルス (パケット放棄で返答無し) になるよ。
> ICMP(pingとか)に関しても同様だけど、こちらは設定できない機種があるかもね。

36 :名無しさんに接続中…:2007/02/26(月) 18:28:01 ID:ahnb2dkf
>>35
別途用意すればなんでもありで、それこそISPを変えればいいじゃんなんてことになる。

ステルスにするのは静的NAPTでもパケットフィルタでも可能だが、
知りたいのは、常時安心セキュリティなら全てステルスという内容。

ルーターの設定を変えたとしたら、どうやってルーターの設定を@niftyが変えたのか、
WAN側からルーターの設定を変更できるとしたら、それは問題だと思うから。

37 :sechttp605.sec.nifty.com:2007/02/26(月) 20:40:52 ID:o/GFgCsD
>>36
ユーザー側で一切ルーターの設定は変えていませんが何か?
500円/月だし試しに入ってみたらどう?

38 :名無しさんに接続中…:2007/02/26(月) 22:38:34 ID:vTIBC4fC
ID:ahnb2dkfは何で勝手にキレてるんだ?

39 :名無しさんに接続中…:2007/02/26(月) 22:50:37 ID:W96QFdYZ
>>36
ステルスになるのは VPN の口(xxx.sec.nifty.com)だけだろ。
ルータに割り振られたグローバルアドレスがステルスになるわけではない。
もしルータの脆弱性を攻撃されないためにステルスにしたいなどということであれば
意味無し。

40 :名無しさんに接続中…:2007/02/26(月) 23:05:27 ID:CUvYdtnW
>>39
意味なしというのは、常時安心セキュリティのこと、それとも静的NAPTやフィルタのこと?

41 :名無しさんに接続中…:2007/02/26(月) 23:06:55 ID:W96QFdYZ
>>40
ジョージ君

42 :名無しさんに接続中…:2007/02/26(月) 23:15:53 ID:CUvYdtnW
>>41
レスサンクスです

43 :名無しさんに接続中…:2007/02/27(火) 09:15:20 ID:N6Q+3po5
LANないの存在しないアドレスへポートフォワードってLAN内に
パケットの進入を許してる事になるだろ。
そんなアホな事しなくてもパケットフィルタでステルス状態とやらにはなってたし。

44 :名無しさんに接続中…:2007/03/11(日) 16:03:15 ID:PCiJ1rnq
無線lanカードで使用可能なものは
WG511U WL54AG意外にありますか?

45 :名無しさんに接続中…:2007/03/17(土) 17:13:48 ID:WHNcnfLk
オークションでモデムを購入しようと考えているのですが、
型番の末尾の()内が違っても、別のプロバイダで使用出来ますか?

46 :名無しさんに接続中…:2007/03/17(土) 20:47:44 ID:N1jvtHq6
>>45
()内はIP電話のグループだから、問題なく使用出来る。
CはNTT-C、KはKDDIかな?


47 :名無しさんに接続中…:2007/03/18(日) 00:29:08 ID:HXIFcblM
>>44
アイオーデータのWN−AG/CB2が
WD701CVで使えてる。


48 :45:2007/03/18(日) 17:23:12 ID:NgIH/nYp
>>46
ありがとう。検討します。

49 :名無しさんに接続中…:2007/03/21(水) 01:07:19 ID:4+3AvrG2
>>29
YAMAHAのRT57iがあれば可能。
ただし、WDを初期化してしまうと設定画面が出なくなるようなので、
ブリッジモード設定後は未設定の接続先を選択しておくと吉。

50 :名無しさんに接続中…:2007/03/21(水) 01:36:32 ID:Q0jRZihh
>>29
[WD701]---[スイッチングハブ]--[PC]
         |  |
     (WAN)|  |(LAN)
    [無線LANアクセスポイント]

WD701のDHCPサーバ機能はOFF
WD701のLAN側IP 192.168.1.1
無線APのLAN側IP 192.168.1.2
PCのIPアドレス   192.168.1.3以降

51 :名無しさんに接続中…:2007/03/21(水) 16:11:37 ID:pjtGyVYo
@niftyのADSLモデムWD605CVを無線化して使いたいと考えています。
使用報告のあるNetgear WG511Uを拡張スロットに差した場合、
新11a(W52/W53)のチャンネルも使えるでしょうか。
メーカー推奨のWL54AGは旧11aだけなんですよね。

ちなみに、内蔵無線カードは、Intel/PRO 2915ABG(新11a対応)
です。この組み合わせで使っている方の使用感も伺いたいです。

52 :名無しさんに接続中…:2007/03/22(木) 12:50:55 ID:gy/f7aJJ
ファームアップでW52対応できるけど。

53 :名無しさんに接続中…:2007/04/24(火) 23:05:13 ID:sYY7ZoBF
WL54AGリサイクル品、限定100枚で復活してたが、もう在庫寡少になってる。

54 :名無しさんに接続中…:2007/04/26(木) 19:31:46 ID:JZZnYY1r
DR202を使っていますがパケットフィルタの設定でWAN側とLAN側を選ぶことができるかと思います。

違いがよく分からないので常にWAN側にチェックを入れて使っているんですが、
LAN側にチェックを入れないとまずいケースというのはあるんでしょうか?

またWAN側・LAN側ともにチェックを入れることができるようですが、この場合はどういう動作になるのでしょうか?

55 :名無しさんに接続中…:2007/04/26(木) 20:28:48 ID:3ww+4cki
>>54
このあたりを参考に。
ttp://www.aterm.jp/manual/e/200ref/202/guide/8/8w_fr5.html
ttp://www.aterm.jp/manual/e/200ref/202/guide/8/8w_m5p.html
PC → ルータ → 外部への意図しない流出を防止するのに
LAN側にチェックを入れたほうが楽なケースが有るのでは?
あと、特定のPCに対し外部へのアクセスを制限したい場合とか。


56 :名無しさんに接続中…:2007/04/26(木) 21:48:29 ID:OgiQfLxk
WAN側にチェックを入れたときの「送信元」とはweb側を、「宛先」とはローカルネットワーク側を意味し、
LAN側にチェックを入れたときの「送信元」とはローカルネットワーク側を、「宛先」とはweb側を意味している
という理解でよろしいでしょうか?

ちなみにweb側からローカルIPアドレスを詐称してローカルネットワークにアクセスしようとする攻撃を
回避するため次のようなパケットフィルタを定義してみたのですがなぜかweb側と一切通信ができ
なくなってしまいます。設定に何か誤りでもあるのでしょうか?

WAN側
種別:      拒否
送信元:    192.168.0.0/255.255.0.0
宛先:      *
プロトコル:   *
送信元ポート: *
宛先ポート:  *
方向:      順方向

57 :名無しさんに接続中…:2007/04/26(木) 23:25:17 ID:Ny68UFWB
たぶん、宛先IPアドレスをしっかり指定したフィルタ以外はWANでもLANでも
どっちでも問題ないと思われ。
便利なのかどうか知らないけど、静的アドレス変換の書き換えをする場所が
WAN側パケットフィルタよりさらにWAN側に出てる事も考慮しなければならないとか
なんかややこし過ぎ。

58 :名無しさんに接続中…:2007/04/27(金) 00:17:26 ID:Gdc7dXYE
>>56
私もそれほど詳しくなく、ただいま勉強中の身ですので間違っていればご容赦を

「機能詳細ガイド」の「パケットフィルタの設定例」を見たところ
>フィルタ処理を本商品のWAN側(インターネット側)で処理を行うのか
>LAN側で処理を行うのかを指定します。LAN側フィルタは、全接続先共通です。
また「機能詳細ガイド」の「詳細設定−パケットフィルタ設定」には
>WAN側:本商品と接続先との通信のフィルタ。
と書いてありますので、「宛先:*」にすると、モデムのルーターに与えられた
グローバルIPアドレスも含んでしまうのではないのでしょうか?
というわけで、下記の設定ならOKでは?
WAN側のみチェック
送信元IPアドレス:192.168.0.0/255.255.0.0
宛先IPアドレス:localhost/255.255.255.255
プロトコル種別:TCP・UDP・ICMPすべて
送信元ポート:*
宛先ポート:*
方向:順方向

ちなみに上記の設定から「送信元IPアドレス:*」に変更すれば
WAN側からの接続を全部閉じる設定になって
例えばシマンテックのセキュリティチェックで、結果が全部ステルスになります。
拒否より通過の設定が優先されると書いてありますので
必要ならば必要なポートだけ開けるという感じになります。
また、ご心配のIP Spoofing攻撃は
「詳細設定−高度な設定」で、セキュリティ保護機能 (初期値:使用する)
にしておけば、そちらでも防いでくれるようです。
Aterm Support Information (トップページ)
http://www.aterm.jp/eaccess/index.html

どうやら住友電工のモデムからNECのモデムに変わったことで難儀されている
ようですが、メーカーによって設定項目がずいぶん違いますよね。

59 :名無しさんに接続中…:2007/04/27(金) 01:17:17 ID:vn9zE9PM
>>58
宛先IPアドレスを*からlocalhost/255.255.255.255に変更することで問題なく通信できるようになりました。
アドバイスありがとうございます。

ただ・・・

> >WAN側:本商品と接続先との通信のフィルタ。
> と書いてありますので、「宛先:*」にすると、モデムのルーターに与えられた
> グローバルIPアドレスも含んでしまうのではないのでしょうか?

仮に*でルーター自身のグローバルIPアドレスを含んでしまったとしても、送信元IPアドレスとして

送信元IPアドレス:192.168.0.0/255.255.0.0

詐称に使われることが想定されるローカル用IPアドレスを指定しているので通常の通信では
このフィルターは適用されないはずなんですが・・・。たとえばYahoo!のサイトに訪問して、
送られてくるwebデータの送信元IPアドレスが192.168.0.0/255.255.0.0であることはまず考えられないことです。

> LAN側フィルタは、全接続先共通です。

この注意書きも確かに書いてありますがいまいち言いたいことがわかりません・・・
LAN側にチェックをいれると全接続先は共通になるから宛先IPアドレスに何を指定しても
違いは生じないということなんでしょうか?

> どうやら住友電工のモデムからNECのモデムに変わったことで難儀されている
> ようですが、メーカーによって設定項目がずいぶん違いますよね。

はい、私もDR202を使う前は住友電工とNTT-MEのモデムを使っていました。
どちらも直感的に分かりやすい内容だったのですんなり設定できたんですが
DR202になってからだいぶ様変わりしまして今まで直感的にできていたことが
詰まるようになってしまいました。その分設定の自由度が高いということなんでしょうか?

60 :名無しさんに接続中…:2007/04/27(金) 01:19:43 ID:sxrIqJQm
>>56
「WAN:チェック、宛先:何処かの外部IP、送信元:Localhost」なんて設定もアリだから 
「送信元・宛先」と「どちら側」は無関係。

設定例の図を見ると 「WAN側フィルタ <-> NAT <-> LAN側フィルタ」のようなので
その設定でよさそうだけど・・・
ttp://www.aterm.jp/manual/e/200ref/202/guide/8/8w_m5pp.html
を見ると、LAN側IPを指定したフィルタに対してWAN側にチェックするように
記載されているので、>>57さんが書いているように 静的NATもWAN側フィルタの
外側にあるのかもしれない。

>>58
Web上のどこかのIP ≠ 192.168.0.0/16 だから、>>56さんが例にあげたフィルタルールには
引っかからないと思う。 

>・・・LAN側フィルタは、全接続先共通です。
こう書かれて気が付いたけど、これがWAN側チェック・LAN側チェックを
使い分ける理由なんでは?

 
 
 


61 :名無しさんに接続中…:2007/04/27(金) 01:31:00 ID:vn9zE9PM
>>57
> たぶん、宛先IPアドレスをしっかり指定したフィルタ以外はWANでもLANでも
> どっちでも問題ないと思われ。

DR202のデフォルトで定義されているパケットフィルタのうち、1番と14番はLAN側かWAN側かの
違いを除いて全く同じ内容です。

01番
LAN側
種別:      拒否
送信元:    *
宛先:      *
プロトコル:   TCP
送信元ポート: netbios
宛先ポート:  *
方向:      両方向

14番
WAN側
種別:      拒否
送信元:    *
宛先:      *
プロトコル:   TCP
送信元ポート: netbios
宛先ポート:  *
方向:      両方向


この場合、1番と14番は本質的に同じ設定で、どちらかが欠けても動作は全く同じという
ことにはならないでしょうか?それとも1番も14番もどちらも必要なフィルタなんでしょうか?

62 :名無しさんに接続中…:2007/04/27(金) 01:41:05 ID:0aDbYcUj
>>61
14番は宛先がnetbiosで送信元は*になってね?
うちの605はそうなってる。

63 :名無しさんに接続中…:2007/04/27(金) 02:01:08 ID:0aDbYcUj
LANとWANを使い分ける意味って
07 拒否 * localhost/255.255.255.255 TCP * www 順方向
みたいなルールにしかないと思う。

64 :名無しさんに接続中…:2007/04/27(金) 02:23:17 ID:vn9zE9PM
>>62
あ、そうです。宛先ポートです。失礼しました。

ちなみに1番と14番、どちらもWAN側、あるいはLAN側に統一してしまうと
まずいんでしょうか?

あと設定次第ではWAN側とLAN側の両方にチェックを入れることもできるんですよね?
WAN側とLAN側の両方にチェックを入れる使い方は想定されてるんでしょうか?

65 :名無しさんに接続中…:2007/04/27(金) 02:53:06 ID:6B/r7zZ7
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/apply-filter-to-interface.html
NECにもこういった解説があると良いのにね

66 :名無しさんに接続中…:2007/04/27(金) 02:54:35 ID:0aDbYcUj
うーん、統一しても問題はない感じだけど、デフォルト設定をあえて触る事もないと思われ。
14番はWAN側がチェックされてると思うけど、web.setup(192.168.0.1)の
ポート137と138への通信はフィルタされてる動作になる。
WANとLANの同時チェックは>>63のルールが良い例だと思われ。
同時にチェックするとWAN側からはもちろん、LAN側からもクイック設定Webに
入れなくなるはずw

67 :名無しさんに接続中…:2007/04/27(金) 03:21:38 ID:0aDbYcUj
あっごめん、1と14は統一すると互いに干渉し合う可能性がある。
>>66
>web.setup(192.168.0.1)のポート137と138への通信はフィルタされてる動作になる。
は14は関係なくて接続要求自体はモデムに到達してる。
でも1のルールで接続できないよって返信がフィルタされるからフィルタされてるように
見えただけだった。
>>65ほど豪華な絵がなくても>>60の内容だけで基本的な部分は理解できる動作だ。

68 :名無しさんに接続中…:2007/04/27(金) 03:29:31 ID:0aDbYcUj
ちなみにデフォルトフィルタの意味はこんな感じらしい。
1,2,3 nocall 不正POPUP防止
4,5,6,7 access-limitation WAN側からのアクセス制限
8,9,10,11,12,13 trojan-horses トロイの木馬対策
14,15,16,17,18 file-sharing 情報漏洩防止

69 :名無しさんに接続中…:2007/04/27(金) 04:12:59 ID:vn9zE9PM
>>58さんのアドバイスでweb側からのローカルIPアドレスで詐称したアクセスを禁止するフィルタは

WAN側のみチェック
送信元IPアドレス:192.168.0.0/255.255.0.0
宛先IPアドレス:localhost/255.255.255.255
プロトコル種別:TCP・UDP・ICMPすべて
送信元ポート:*
宛先ポート:*
方向:順方向

でokなことがわかりました。ありがとうございました。

さて、この手の詐称を防止するにはもう一つ、LAN内からwebに向けてローカルIPアドレスで詐称した
アクセスを禁止するフィルタを用意することが推奨されています。つまりインターネット上に本来
あってはならないローカルIPアドレスを送信元アドレスとするパケットを自分が加害者となって
出さないことを目的とするフィルタです。

このフィルタをDR202で構築するにはどう設定すればよろしいでしょうか?
これこそが「LAN側にチェック」をいれるべきフィルタなのでしょうか?

70 :名無しさんに接続中…:2007/04/27(金) 04:59:42 ID:0aDbYcUj
いや、WAN側。DR202もLANに入れてやろうw

71 :名無しさんに接続中…:2007/04/27(金) 05:45:23 ID:C2UghlV2
ちょっと試してみたけど、LAN内IPアドレスがWAN側アドレスに書き換えられる(NAT)のは
WAN側パケットフィルタのさらにWAN側(ポートマッピングと同じ場所?)らしい。
だからこのパケットフィルタでは本物なのか偽装なのか見分けることはできないっぽい。

結局WAN側LAN側のチェックは、モデムがWAN側にあるものとして考えるか
LAN側にあるものとして考えるか程度の差しか出ないって事なのか…。

72 :名無しさんに接続中…:2007/04/27(金) 08:58:57 ID:BUZSMEor
>>69
>>70さんがかいているようにWAN側にチェックしないとPC→DR-202も
アクセス不可になる。
NATが動作していれば送信元はルータのWAN側IPに変換されるから
特にルールは不要では?ルータによってはNATの適用・除外が設定
できるけどDR-202はNAT除外の設定ってできるんだろうか?

>>71
>>56さんのフィルタを追加してWebを検索いしょうとすると、通信ログで
送信元 = 192.168.0.0/16(PCのIP)で引っかかっているから、NATは
WAN側フィルタの外側っぽいけど・・
ただ設定例を見ると宛先がlocal hostの事例も書かれていているので
WAN側フィルタの内側っぽいしで良く分かりませんね。

LAN側・WAN側の使いわけは
LAN側 : 全接続先共通
WAN側 : 接続先ごと
じゃないかな?
まぁフレッツだったら複数プロバイダへの同時加入もアリだけど
イーアクはプロバイダと抱合せ加入だし、接続プロバイダ毎に
フィルタを分けるとしてもメールサーバー・DNS・NTPのみ許可くらい
しか用途が思い浮かばないけど。
 


   


73 :名無しさんに接続中…:2007/04/27(金) 13:07:21 ID:WUYSmTiN
ちょっと話は元に戻るんですが、web側からローカルIPアドレスを詐称したアクセスをフィルタリングするため

WAN側
種別:      拒否
送信元:    192.168.0.0/255.255.0.0
宛先:      *
プロトコル:   *
送信元ポート: *
宛先ポート:  *
方向:      順方向

のように設定したのですが、結果全通信が遮断されたのに対して、

WAN側
種別:      拒否
送信元:    192.168.0.0/255.255.0.0
宛先:      localhost/255.255.255.255
プロトコル:   *
送信元ポート: *
宛先ポート:  *
方向:      順方向

宛先をlocalhost/255.255.255.255に変更したら問題なくアクセスできるようになった件に関して
モデムのログを見てみていったい何が起きてるのか調べてみることにしました。
結果前者の全通信が遮断されたとき、Yahoo!にアクセスしようとして弾かれたときのログは
IP_Filter REJECT TCP 192.168.0.2:1298 > 203.216.247.225:80 (IP-PORT=6)
のようになっていました。この場合だと送信元(192.168.0.2)がLAN側で、宛先(203.216.247.225)がWAN側
という解釈になるかとおもいます。私はてっきりWAN側にチェックを入れると送信元は常にWAN側に固定
されているのかと勘違いしていましたがどうやら通信毎の送信元を意味しているのでWAN側のときもあれば
今回のログに残っていたようにLAN側のときもあるということなんですね。以前使っていた住友電工や
NTT-MEのモデムの設定では「送信元」と「宛先」がWAN側・LAN側のどちらを向いているのかは指定して
固定することが可能だったのでDR202に乗り換えたときに頭の中で混乱が生じたみたいです。

74 :73:2007/04/27(金) 13:29:35 ID:lr9vmO0G
以前の全通信が遮断されていたフィルタは

送信元:    192.168.0.0/255.255.0.0
宛先:      *

となっていました。確かにローカルIPアドレスを詐称したWAN側(192.168.0.0/255.255.0.0)から
LAN側の全てのPC(*)へのアクセスは弾いてくれますが、同時にLAN側(192.168.0.0/255.255.0.0)から
Yahoo!などを含むWAN側の全てのサーバー(*)へのアクセスを弾く諸刃の刃的なフィルタでも
あったわけなんですね。

そこで宛先を*からlocalhost/255.255.255.255に変えたことで、

送信元:    192.168.0.0/255.255.0.0
宛先:      localhost/255.255.255.255

Yahoo!といったグローバルIPアドレスを所持するWAN側のサーバーへの通信にこのフィルタが
適用されることがないようにすることができたようです。

75 :73:2007/04/27(金) 13:34:04 ID:10znrBds
さて、これでWAN側からローカルIPアドレスを詐称したアクセスは弾くことが出来るようになったわけですが
逆に所有しているPCが踏み台にされて、LAN側からWAN側へローカルIPアドレスを詐称した通信が漏れる
ことを防止するフィルタは送信元と宛先をそっくり入れ替えてやればよさそうですね。

WAN側にチェック
種別:      拒否
送信元:    localhost/255.255.255.255
宛先:      192.168.0.0/255.255.0.0
プロトコル:   *
送信元ポート: *
宛先ポート:  *
方向:      順方向

あるいはDR202に「方向」というオプションがあることを考えると、順方向を両方向に変えることで
2つのフィルタを以下のように1つのフィルタに統合することができるかもしれません。

WAN側にチェック
種別:      拒否
送信元:    192.168.0.0/255.255.0.0
宛先:      localhost/255.255.255.255
プロトコル:   *
送信元ポート: *
宛先ポート:  *
方向:      両方向

※両方向してみましたが、今のところweb・メールとも問題なく通信できています。

76 :名無しさんに接続中…:2007/04/27(金) 19:24:05 ID:olhU9Vhv
外とのUDPの通信ってできてる?
例えばプロバイダのDNSサーバのIPアドレスが192.0.2.10だったら
nslookup example.com 192.0.2.10
ってのをコマンドプロンプトで実行してexample.comのIPアドレスが引けるかどうか。
普段はDR202とかのキャッシュ付きDNSフォワーダを使ってるから
UDPが使えなくなってる事に気づかなかったりするんだよね。

77 :73:2007/04/27(金) 19:31:53 ID:3JZCEZ2o
はい、

Non-authoritative answer:
Name: example.com
Address: 192.0.34.166

という返答が帰ってきたのでおそらく通信はできていると思います。

78 :名無しさんに接続中…:2007/04/27(金) 19:51:04 ID:olhU9Vhv
なら大丈夫か。
あ、そういえば、ICMPはデフォルトで応答しないみたいだし、TCPはステルス状態に
してしまえばいいから、プライベートアドレス関係は>>75をUDPだけにしてWAN側に
適用するだけでいいんじゃないかな?

79 :73:2007/04/28(土) 15:06:03 ID:6wV7Ol/X
ところで話は変わるのですが今までは

http://web.setup/

でモデムの設定画面に入れていたのがいつの間にか入れなくなっていました。

IPアドレスを直接指定すれば

http://192.168.0.1/

問題なく入れます。
web.setupで名前解決できなくなった理由は何でしょうか?

80 :名無しさんに接続中…:2007/04/28(土) 15:55:16 ID:riTIDhuz
>>79
ルータ内部で行っている名前解決がパケットフィルタではじかれている。
http://web.setupで入れている時・入れない時の通信ログを比較するか
Etherealあたりでキャプチャしたパケットを比較すれば解決するでしょう。



81 :73:2007/04/29(日) 15:00:13 ID:TPxvPIEj
>>80
う〜ん・・・、パケットフィルタはデフォルトに戻して、設定もDHCPで192.168.0.12番から32個
割り振るという設定した箇所とUPnPをオフにした以外はどこも変えていないんですが
それでも

http://web.setup/

ではアクセスできないですね・・・。

あとPCのIPアドレスは192.168.0.2を割り振り、DNSサーバーはISPから提供されているものを
明示的に入力しています。

82 :名無しさんに接続中…:2007/04/29(日) 17:03:14 ID:cimeewsq
>>81

> DNSサーバーはISPから提供されているものを明示的に入力しています。

83 :名無しさんに接続中…:2007/04/29(日) 17:41:54 ID:0WT/5J5c
じゃあ、UDPの返りがフィルタされちゃってるんだな。
>>75の下のやつをTCPだけにするか解除してみな?

84 :73:2007/04/29(日) 18:00:05 ID:TPxvPIEj
>>82
う〜ん・・・、DNSサーバーを指定するとLAN内の名前解決はできなくなるんでしょうか?

ちなみにネットワークにつながった東芝のRD-H1というHDDレコーダーがあるんですが、
その器機には

http://rd-h1/

というURLで問題なくアクセスできています。

http://web.setup/

がダメで

http://rd-h1/

が問題なくアクセスできるのが不思議です・・・

>>83
はい、追加したフィルタのWAN側のチェックは全て外しています。
それ以外にいじったパケットフィルタはありません。

85 :名無しさんに接続中…:2007/04/29(日) 21:21:29 ID:6ggGQN0O
>>84
>DNSサーバーを指定するとLAN内の名前解決はできなくなるんでしょうか
PC・ルータ・ISPのDNSのうち、http://web.setup/ ⇔192.168.xx.xxの
名前解決ができるのはどれか?大火事を見るより明らかと思うが
>追加したフィルタのWAN側のチェックは・・・
ルータにアクセスできるかどうかが問題の時にWAN側のチェックは無関係

86 :名無しさんに接続中…:2007/04/29(日) 21:48:38 ID:0WT/5J5c
ああ、web.setupを仕込んでるのがルータのDNSフォワーダって基本的な部分か。

87 :73:2007/04/29(日) 23:23:33 ID:Brb81QNj
NICにDHCPではなく固定IPアドレスを割り振ってしまったら、DNSサーバーは何かしらの
値で固定する必要があるので(多くのケースではISPより割り振られたDNSサーバーを入力する)
その場合は

http://web.setup/

ではアクセスできなくなってしまうということですね?

つまり上記のアドレスが使えるマシンはDHCPでIPアドレスを割り振ってもらい、なおかつDNSサーバー
もルーターより割り振ってもらうタイプでなければならないということですか?

88 :名無しさんに接続中…:2007/04/29(日) 23:37:07 ID:0WT/5J5c
DNSサーバが192.168.0.1になるように設定するだけでおk

89 :73:2007/04/29(日) 23:41:37 ID:Brb81QNj
>>88
ISPからは手動割り当て用にプライマリとセカンダリの二つのDNSサーバーを用意してもらっているんですが
これは一切無視してネットワークの設定でプライマリのところだけに192.168.0.1と入力すればいいのでしょうか?

90 :名無しさんに接続中…:2007/04/30(月) 00:19:30 ID:VzbwaGJ5
WindowsのDNS Clientサービス並みのウンコキャッシュでよければな。

ISPのDNSサーバはレスポンスが悪い、ルータのキャッシュはウンコって事で
結局自前でDNSサーバを用意したw

91 :名無しさんに接続中…:2007/04/30(月) 00:50:22 ID:QGCe1iJA
それは気合い入ってますな。

92 :名無しさんに接続中…:2007/04/30(月) 01:16:57 ID:VzbwaGJ5
その時は気合が入り過ぎていたのでこんな設定もしてある。

zone "WARPSTAR-XXXXXX." IN { type forward; forward only; forwarders { 192.168.0.1 port 53; }; };
zone "setup." IN { type forward; forward only; forwarders { 192.168.0.1 port 53; }; };
zone "1.0.168.192.in-addr.arpa." IN { type forward; forward only; forwarders { 192.168.0.1 port 53; }; };

それと zone "0.168.192.in-addr.arpa." IN のゾーンファイルに

$ORIGIN 0.168.192.in-addr.arpa.
1 NS ns.invalid.

ns.invalid. はDNSサーバのマシンのIPアドレスが返るようにしておけばいいのかな?
そこは今となってはあいまいだなw
で、この設定をすると基本はDNSサーバが名前解決を行って、web.setup. とか
モデム関係の名前を引こうとした時はモデムに問い合わせる。
まぁ、HOSTSに192.168.0.1 WARPSTAR-XXXXXX web.setupって書くのが一番楽だったんだけどなw

93 :名無しさんに接続中…:2007/05/07(月) 17:14:50 ID:RqdRN3NN
Aterm WD701CVの実効スループット知ってる人いませんか?
ルータ機能の方です。
2重ルータは面倒なんでまともな速度ならハブにPCぶら下げようかと思ってるんですが。

101 KB [ 2ちゃんねる 3億PV/日をささえる レンタルサーバー \877/2TB/100Mbps]
取りに行ったけどなかった。次は一時間後に取りに行くです。
新着レスの表示
掲示板に戻る 全部 前100 次100 最新50
名前: E-mail (省略可) :


read.cgi ver 05.0.7.3 2008/07/26
FOX ★ DSO(Dynamic Shared Object)