1read 100read
2011年10月1期通信技術**SONIC WALL 利用者語ろう**
TOP カテ一覧 スレ一覧 削除依頼 ▼
・ 次のスレ
日立コミュニケーションネットワークスについて
L1のスレ (SONET/SDH)
昼夜ネットワーク監視員やってる奴は負け犬
イーサネットフレームについて語ろう
**SONIC WALL 利用者語ろう**
- 1 :01/07/06 〜 最終レス :12/01/02
- うちとこは SONIC WALL DMZ を導入してるけど
対インターネットアクセスに不満はないねんけど
こっちがセキュアサーバを公開してると、SSLの
中継にやや時間がかかってるみたい。代理店(住金、
フォーバル、MSOL)はこの機種が不満なら、
クソ高いFW1を薦めてくるけど、俺はこのままで良い。
- 2 :
- MSのISAをファイヤウォールとして使う
くらいなら、ソニックを勧めるな。
- 3 :
- 古いSonicはCPUが遅いです。
実績として、内部→DMZ間にちょっとパケット投げてたら、
すぐにパケットロスになりました。
SonicWall Pro以降だと結構いけてます。
けど、SSLの暗号/復元をSonicでやる訳では無いと思うので、”1”の事例には当てはまらないけど。
本当にSSLが問題であれば、SSLのアクセラレータを外部において通常のHTTP等にしてからSonicを越えた方が安上がり。
- 4 :
- ソニックのルールのところにある
デフォルトってどーゆ意味なの?
- 5 :
- デフォルトは「上記以外」。
ルールを上から評価していって、あてはまらないのがデフォルト。
- 6 :
- ソニックからもSSLアクセラレータが出てるけど
これを実際に実装して使ってるユーザっているのかな?
興味はあるんだけど、1番乗りは避けたい。
国内実績を紹介してるサイトを教えてくださいな。
- 7 :
- >>1
3com OfficeConnect InternetFirewall DMZ って知ってる?
こっちのほうがパフォーマンス良くない?
- 8 :
- >>7
リリースされた時期が全然違うのでは。
3が指摘する古いSonicの可能性大。
3com OfficeConnect InternetFirewall DMZは、
WebFilter が別売だろ。Sonicは標準で CyberPatrol 付いてくるし。
- 9 :
- ここの社名って、音壁なんだよね。
ネットワークは秒速約30万キロメートル@大気中だから
音速は秒速340m@大気中
えれー遅いよな。光った瞬間に対応すんじゃなくて、
忘れた頃にパケットを処理してんかね。
- 10 :
- >>9
つまんね。
だったら防火壁はもっと遅いことになる。
延焼速度なんて音よりずーっと遅いからな。
- 11 :
- うちも古いSonicWallだ。
-------------------------
ファームウェア バージョン: 5.1.1
ROM バージョン: 4.0.0
CPU: Motorola MC68360 / 33 Mhz (DMZ)
RAM: 4 M
フラッシュ: 2 M
Ethernet 速度: WAN 10 Mbps Half Duplex, DMZ 10 Mbps Half Duplex, LAN 10 Mbps Half Duplex
現在の接続: 0
---------------------------------------
Mac のクアドラ並のCPUなんだね(笑)
- 12 :
- >>6
SSLアクセラレイタの実績を明記しないな、普通は。
そのアクセラレイタに関する不具合が公表されれば
侵入なりの手口を考え攻撃してくる輩が多い世界。
だから、よほどのことが無い限り『うちは SONIC の
SSLアクセラレイタを使ってます』云々は公表しないぞよ。
- 13 :
- はやく新しいファームの日本語版でないかなぁ。
5.1.1は不具合多くて困る。
- 14 :
- >>11
おいおい、68030と68360は全然違うぞ。
- 15 :
- DMZ とEXTERNAL を相変わらず別ネットワークに出来ないんだっけ>音速壁
ところで音速壁って赤箱みたいに設定変更毎にリブートしなきゃいけない
んでしょうか?
- 16 :
- 赤箱とは視察防止かな。
データコントロール、ヒューコムや大塚が扱ってるインチキな箱。
中をバラバラにして遊んだら、3com のロープロ ISA-NIC が
出てきたよ。
音速壁は設定ごとにリブート必要だけど、赤箱ほど再起動に
時間がかからないよ。赤箱の中身は PC-UNIX っしょ。
- 17 :
- >>16
PC-UNIXと同じ構成だとインチキなのか?
F5のBIG IPもCisco IPXもJuniperも全部インチキか?
つーか、ISAのロープロファイルカードなんかねーよ。
まぁ、NICとして3C509Bが入ってたって事を言いたいのだろうが。
お前の開けたのは古いFB 10だろ。
FB II以降は10/100Base-TXだからISAはありえねーからな。
- 18 :
- DMZとWANセグメントは同一ネットワーク。
リブートは4.Xファームだとほぼ全部再起動。
5.Xでルール変更とかは再起動要らなくなった。
まぁでも再起動は早いほうかも。
再起動ってタイミング難しいんだよなぁ。(政治的に)
- 19 :
- DMZ と WANセグメントが同じつうことで、
少ないIPセグメントを切らずに済むというメリット
があるんじゃないのかな。あとは、ルーティングが
わからない吉川洋太郎なんかにも最適な音速壁つうことで。
- 20 :
- >>19
同意
標準モードだとLANも同一セグメントだよね
社内LANでセキュリティー考える時にこれが
けっこう助かる。
NATモードでDMZからLANにルーティングで
きないのがちょっとめんどいけどね
- 21 :
- >>19
そうかな〜。僕は外部とDMZのネットワークは分けて欲しいけど・・・。
DMZにプライベートアドレス振ってNATかければ良いんじゃない??
DMZと外部両方にグローバルアドレスを割り当てる必要性があまり見出せない。
NATやルーティングのオーバヘッドが嫌って言われるのなら、話は分かりますが・・
- 22 :
- >18
5.xから行き帰りのパケットが違っても破棄しないように
設定できるようになったと聞いたんだけど
ホントですかね?
>21
個人的には21に同意。
こっちの方がRuleが少なくてすむ気がするが。
と言っても管理面での容易さぐらいしかメリットとして
思い浮かばないが。
- 23 :
- >>19
SonicWALLはDMZにプライベート振れない気がしたけど。
UDPとかで奇特なプロトコルのサーバ置いたりするなら
やっぱDMZはGlobalじゃないと駄目じゃないかなぁ。
SSLなサーバを2つ以上使うとか。
>>22
行き帰りのパケットが違うってどういうことですか?
- 24 :
- いい話題を展開していますね。
外部とDMZ をわけるのか、わけないのか。
memoで話題に尽きたらネタ振り用とします。
- 25 :
- >23
Firewallの手前にRouter置いてないとよくあることだと思うけど
たとえばLANの別Subnet内でHostBからHostAにPingした際に、行きのICMP Requestは
Firewall通らないで行くが、HostBへのICMP ReplyはDefaultRouteが
Firewallに向いているので帰りがFirewall経由になってしまうときなど
の事なんだけど分かりづらいよね。ゴメン。
つーか、どこのFirewallでも破棄されると思うんだが
代理店が5.xで解除する設定もできるようなこと言っていたもんで。
- 26 :
- >>24
お、たまにお世話になってます。>memo
>>25
行きと帰りのパケットが違うんじゃなくて、
ルートが違うということですよね。
うーん、そんな機能あったかなぁ。
リリースノート見たけど、載ってないっぽい。
5.xで付いたのは、Stealthモードとかかなぁ。
DMZの閉じたポートにSYN送っても何も返さないモード。
あとNetBIOSが通せるとか、ルールの編集UIとか。
sonicwall.comに設定デモあるんで見てみるといいかも。
ftp://ftp.sonicwall.com/pub/software/SonicWALL/japanese/releaseNotesArchive.txt
- 27 :
- >26
あらら。
やってしまいました、てっきり話の流れが『うぉっちがぁど』
なのかと思ってました。死にたいです。
つーか、SoftwareVersionまで同じだったのね。
ども、すいません。
- 28 :
- セガソニック、カルソニックと別もの?
- 29 :
- 教えてください。
会社にIPをもらえるADSLにする予定です。
会社には SonicWALL を置いて、自宅では Windows 2000 Pro を
使ってVPNみたいなことをしたいんです。何か参考になるサイトは
ありませんか?
- 30 :
- >>29
SonicWallはMTUを通知するICMPを無条件に止めてしまうんで
ADSLでは使えないという噂を聞いた事があるんで確認した方が
いいですよ。だれか正確な情報知らないですか?
Windows2K対SonicのVPNができるのかは私も知りたい。
- 31 :
- 漏れのとこの職場に Sonic がある(VPNオプションなし)
自宅から接続できんだったらやってみたい。
つか、この辺りの情報公開希望ー>住友金属システムソリューション
- 32 :
- こないだ辞めた会社でPro使ってました。
導入時のファームではフレッツADSLがうまく繋がらない
(アクセス出来ないページがあった)ことがありました。
なんでもMTUの値が大きすぎる、かつ調整不可とのことで。
新しいファームに入れ替えたらMTU調整する項目がついたので
アクセス出来るようになりました。
ファームのバージョンわすれちゃった…。辞めちゃったから
もう確認できんしのぅ。
- 33 :
- age
- 34 :
- >>30
ハマったよ、それ。
ずっと古いSonicWallを使ってるんだけど、回線を ISDNからADSLに
切り替えてから、DMZにつないだ自前のLinux鯖から、メールが送れない
プロバイダがある、という現象が出た。
WEBのブラウジングやメールの受信はできる、しかし特定のプロバイダに
メールの送信だけができない。
結局SonicWallのポート3に対するICMPパケットをWAN-DMZ間で
ツーカーの設定にしたら問題なくメールが送れるようになった。
- 35 :
- 会社でPRO買う予定なのでage.
ところでnat有効にした時LAN側PCは外に出るとsonicwallのwan側アドレスと同一
になるのでしょうか?
- 36 :
- >>35
その理解でいいです
wan側という表現はちょっと語弊があるけどね、
あれはマスカレード用と考えた方がいいと思うよ。
- 37 :
- あんまりこいつをFirewallとは呼びたくないよな、、、
- 38 :
- SNWL−KKがあるんだってねー。
でも仕入れは従来どおり、アメリカから。
- 39 :
- >36
情報どうもです。
しかしここって名前入れないとホスト名出ちゃうんだ(藁
ま、いいけど。
- 40 :
- >>37
そうか? 俺としてはFireWall-1と大差ないと思うけどな。
ただ、こいつで細かいルールの設定をしない方が良いとは
聞いたことがある。
- 41 :
- >>40
っていうか、細かいルールを使うなら選ばない方がいいと思う
FireWall-1でいうところの、オブジェクトの作成ができないから
ルールはアドレスとかプロトコル単位で作らないといけないし
ログも細かい指定ができなかったりしてFireWall-1な人が物足らないと
思う気持ちはわかる。
ただファイヤウォールとしての基本機能はちゃんとしてると思うから、
手軽に導入したいとこにはいいと思うね。日本語だし・・・
FireWall-1ってNATかけるのにいちいちARPテーブルかかないといけな
っかったりしてめいどいけどこれは「こうしたい」って設定すればあとは
適当にやってくれるから。
- 42 :
- ちなみにうちはFireWall-1から乗換え予定なのです。
保守料ボリすぎ>フォーバル。
- 43 :
- D-DOSの検知とか、snmp機能なんかが弱すぎる気がする
Net-screenと価格帯は対してて変わらないし、
スループットやセッション数なんかを見ても、
ボックスのFirewallならNet-screenを選ぶけどな
いずれにしてもノキア使うぐらいならこっちだが
- 44 :
- >>43
ノキアってだめなの?
俺のイメージとしてはFireWall-1だから
上級機器なのだが・・・
- 45 :
- >43NET SCREEN100ってどうなの?
いまFireBOX2を使ってるけれどSonicWallよりはこっちのほうがいいと思うけどなあ。
- 46 :
- >>44
ノキアはいらん機能がたくさんついてて高いから、、、
FirewallにBGP食わせる馬鹿がどこにいるのかと小一時間問い詰めたい
マルチキャスト対応する意味ってあるのかね?
ユーザー認証とかもあんまりね、、、
Firewall-1ユーザでもユーザ認証機能とか使ってるとこ少ないよね
信頼は確かにできるかも知れないけど
#ノキアでなくチェックポイントを
>>45
見た目は安っぽいけど結構なもんだよ
ポイントはきっちり抑えてるし、ブリッジングモードとか
エンジニアが遊びたくなる機能が結構ある
D-DOSの検出も検証したけどきっちり動いたよ
あの価格帯で最大6万セッションってのもいい
#ただ、オブジェクトの管理がしづらい
#NATしたIPが実IPと別オブジェクトだったりする
#標準でオブジェクトが作られてるプロトコルも30種類くらいしかないし
- 47 :
- >>46
ありがとう。
あれってASIC使ってるからワイヤースピードでいけるんだよねえ?
IPsec使ってVPNゲートウエイ機能をONにして使ってもワイヤースピードでいけますか?
- 48 :
- 名前間違い ×”常識的に考えて・・・”
○”45”
ごめん。
- 49 :
- FireWall-1 使うなら、NOKIA が
一番良いスループットを出すと思われ。
二重化も楽だし。
- 50 :
- >>13
日本語ファームのアップデートなんか待ってないで、とっとと英語版ファームを入れるのが吉。
当方なんの問題も無し(SonicWall XPRS2)
- 51 :
- 会社にPRO-VX が来た。リモートVPNで遊ぼうと思ったら自宅で入ってる
プロバがNAT使ってるのでやっぱ接続不可だった。残念。
- 52 :
- かつて遊んだSonicWallが話題になってる。
嬉しいのでage。
- 53 :
- Sonicwall ProんpVPN機能を利用し、モバイル環境を作ろうとしている
二流エンジニアです。
Sonicwall proのどこを設定してやればいいのでしょうか?
- 54 :
- Fireboxイイけどやっぱ高い。
そういやSonicWALL PROでSNMP使ってるひといます?
MIB2フルサポートとか書いてあった気がするんですけど、
dc0-2のifのin/outOctetが0のままなのは仕様?
あとバージョンあげたらメールがうざい。しかもUnicode...
あとは日本でもAntiVirusサポートしれ。
>>51
片端はNATでいけると思いましたけど。
IKEとか使わなくてもダメですか?
- 55 :
- >>片端はNATでいけると思いましたけど。
どうやってもダメでした。私が入ってるとこ(イッツコム)が
タコなのかもしれない(;;グローバル発行してるプロバイダーに
ダイアルアップしてやる分にはすんなりOKでしたのでソニック
は調子いいようです。
- 56 :
- >>53
ファームの画面のVPNのとこ見ました?
- 57 :
- GNATBoxシリーズはどうすか?
http://www.gnatbox.com/
- 58 :
- SNWL KKにいる羽生さんと一発ハメたい
- 59 :
- >>55
あらま。
ちなみに、SonicWALL同士の話ですが販売店から
片端はNATでOKて回答得てるのと、実際にISDNルータ使って
実験したらIKEはダメでしたけど手動鍵はOKでした。
ちなみに、VPN使ったときはスループット6割くらいみたいです。
まぁ、WANが100Mbpsとかじゃなけりゃ十分ですね。
- 60 :
- >>59
うう、ほんとですか。一応手動鍵も試したんですけどね〜。
やっぱプロバイダーが原因かな?情報有難うございました。
- 61 :
- >>60
今も会社に手動鍵でブロードバンドルータの下からYBB経由で接続しています。
Group-VPNでの接続も出来ますよ。 OSW2K+VPNクライアントです。参考まで。
- 62 :
- >>61
YBBってグローバルなんですか?
うらやましいっす・・今時グローバルじゃないって
のも珍しいよ>イッツコム。
NTTの収納局が遠いからADSLちょっと
躊躇なんですよね〜。
- 63 :
- >>62
YBBはグローバルです。 と言うよりもセキュリティーの甘い巨大なLANかも。
ADSLも4Km位でも接続出来たと言う話も聞きますが、博打かも知れませんね。
- 64 :
- Sonicか、symantecの初ハードVelociRaptorかを悩んでるんですが、
VelociRaptor どうです?
- 65 :
- >>64
悪いこと言わんから、
Firewallみたいなキモになる機器は絶対にこなれたものをつかえ
とある案件でとあるFirewallの国内ファーストユーザになったが
地獄を見た
- 66 :
- NetScreen か Sonicwall かで悩んでいるんだけど、どちらが良いと思う?
簡単なフィルタリングとログが取れれば良いだけなので、機能的にはどちらも十分満たすんだけど。
# 本当は FW-1 使いたいんだけど、高すぎるのよね。
- 67 :
- >>66
使ってみて、使いやすいほうでよいと思う。
但し用途によるけどね。
>>41にもあるように、Sonicwallは細かい設定には向かない。
インターネット用に大雑把なフィルタリングするのだったら、FW-1は要らない。
逆に、細かい設定(例えば、ユーザ1はAというサービスにアクセスできてとか・・・)
だったら、FW-1の方が良い。
- 68 :
- 遊び心を出したいなら、絶対にネットスクリーンだね
ただ、面白い機能はNetscreen-5だとあんまり無かった気がする
25や100なら、遊びたくなる機能満載だよ
- 69 :
- SONICにもQOSつけて欲しかった。ネットスクリーンにはついてるんですよね?
- 70 :
- >>69
SonicwallってCobaltと一緒に使う案件が多くて、CobaltのQOSのおかげで
気付かなかった。
確かに欲しいよな。
- 71 :
- ageru
- 72 :
- Sonic や Netscreen のカタログを見ると
ユーザ数でだいぶ値段が違うんですが
このユーザ数ってなんですか? ^^;
- 73 :
- あ、下げてしまった...
- 74 :
- 英語版の新しいファーム入れてみた。QOSらしきものが付いてる!
おまけにVPN関係も新しい機能があってちょっと遊べそうっす。
- 75 :
- >>72
LAN側から特定数以上のMACアドレスやらIPアドレスを検出した時点で
そのSrcIPやSrcMACのパケット止めるんじゃなかったかな?
- 76 :
- なるほど、そういうことですか。
ありがとう。
- 77 :
- あんまり有名じゃないけど、Rapid Streamってのもなかなか良いよ。
- 78 :
- >>77
具体的な感想をきぼ〜ん。
- 79 :
- カタログは落として見てみたけど面白そうだよ
簡単なレビューが載ってる月刊誌みたいのが
あったらいいのになぁ。あ、日本語で^^;
- 80 :
- 某法人向けの100Mインターネット接続サービスでうちの上司がすすめられて購入したんだけれども、
ナカナカにはやかった。スペック上は上がり下り合わせて200Mで実測で89M(!?)でてた、、
最初は目を疑いましたよ。 VPN入れても50Mくらいでてるし、簡単なロードバランスもできるし。
>78 3/15の日経コミュニケーションにレヴューあったよ。
- 81 :
- キボーン
- 82 :
- 英語版の最新ファームいい感じ。nat配下からでもVPNクライアント接続
出来るようになった。(Sonicwallの話ね)日本語版はようやく旧Verの
日本語化が出たみたい・・
- 83 :
- http://www.ntt-me.co.jp/news/news2002/nws020703.htm
- 84 :
- >>66
Netscreenの方が使えるよ。
SonicはPro以上じゃないとちょっと…
- 85 :
- SonicのACアダプタよく壊れる。
爆発して壊れるのもあれば壊れているように見えないように壊れるのもあってタチが悪い。
(Sonicも一見正常に動いているようにLED等は光っているがアクセスできない)
- 86 :
- DMZからLANのアドレスにアクセスってできないの?
もしアクセスする時は、グローバルアドレス1つ使ってNAT?
単なるメールリレーサーバーのためにアドレス使いたくないんだけど・・・
今、下手に設定して設定画面にも入れなくなって、ネットワーク1時間止めてしまったぞ(´Д`)
- 87 :
- >>86
そうだよ
DMZのマシンが少なくて、DMZ>LANがたくさんある時は
ルーターでNATかけてプライベート+標準モードで
運用した方がアドレスが節約できる
- 88 :
- >>86
アクセスリストにPermitで登録すれば良いよ。
そうすると、もともとグローバルふってある
SONICWALLのWANアドレス使えるよ。
- 89 :
- 漏れ会社もsonicのACアダプタ壊れた!
ついでに本体分解したら、電源系周りにまったく保護回路が無かったヨ。
夏休みの電子工作みたいな回路だった。持っているやつがいたら一度分解してみ。
- 90 :
- SonicWallProを使っていましたが(5.0.2?)、故障したのでPro200に変更しました。
ファームは最新?の6.2.2.0です。
このPro200にしてから、Wan-DMZ間の通信で不具合が出るようになってしまいま
した。
具体的には、1台で複数のIPアドレスをもつ機器(RASとかCobaltのようなバーチャル
サーバとか)と、他の機器間で主となるIPアドレス以外は通信できません。
WAN側に置いたときには、ARPが解決できないなしく、arp -aで見たときにMacアド
レスが取得できていません。
逆にDMZ側においたときには、通信できるときもありますが、しばらくするとダメで、
arp -dを行ってあげればまた通信できるようになります。
バグ?それとも制限?それとも設定でしょうか?しようがないので、すべてDMZ側
において急場をしのごうかとおもっております。
- 91 :
- AGE
- 92 :
- うちのACアダプタも壊れた!
交換して貰った新しいACアダプタはでかかったヨ。
しばらく動いていたが今度は本体がってしまった。
たぶんACアダプタが壊れた際のダメージかな。
- 93 :
- >>90
>WAN側に置いたときには、ARPが解決できないなしく、arp -aで見たときにMacアド
レスが取得できていません。
それあるある。
私の場合、全て工場出荷時に戻して最初からパラメータ入れ直したら、安定しましたが。
あれはなんだったんだろうと今も思います。
- 94 :
- SonicWALLのACアダプターはリコール出てるよ。
http://www.sonicwall.com/japan/support/support_sb.html
- 95 :
- ?
- 96 :
- SonicWALL Pro100使ってるけどランニングコスト高いので
ZyWALL100への乗り換えを検討している。
けどコイツって使えるのか?
- 97 :
- >>96
Sonicに保守なんて不要。
- 98 :
- 恥ずかしながらコンテンツフィルタ使ってるから..
- 99 :
- 質問っす。
こんなログ
UDP packet dropped
192.168.0.1(sonicのローカルIPアドレス) , 123, LAN 130.88.***.***, 123, WAN
みたいのが、1・2分毎に出てるんだけど、なんでしょう?
Network Time Protocol?そんなのsonicwallでつかうか?
- 100read 1read
- 1read 100read
TOP カテ一覧 スレ一覧 削除依頼 ▲
・ 次のスレ
日立コミュニケーションネットワークスについて
L1のスレ (SONET/SDH)
昼夜ネットワーク監視員やってる奴は負け犬
イーサネットフレームについて語ろう