イーアク他CE系AtermDR200/DR300/WD600シリーズ4

1 ：07/01/31 〜 最終レス ：12/05/21

前スレ
イーアク他CE系AtermDR200/DR300/WD600シリーズ3
http://pc10.2ch.net/test/read.cgi/isp/1071737105/
イーアク12Mモデム Aterm DR202C
http://pc3.2ch.net/test/read.cgi/isp/1040098118/
イーアク12Mモデム Aterm DR202C その2
http://pc4.2ch.net/test/read.cgi/isp/1045340396/
HI-WIND ADSL　
http://member.nifty.ne.jp/hi-wind/adsl/
前スレ15さん作。ビットマップやモデム詳細情報などを
確認できるユーティリティソフトDR utilityを提供してくれてます。
それでははりきってまいりましょう。

2 ：

これからもAterm DR202Cを使い続けるぞ。

3 ：

>>1乙
WD606CVの新参者だけどよろしくです

4 ：

ついでにDR320CV DR304CV DR302CV のファームが上がったようで

5 ：

フレッツADSL(12M)で、DR202C使用中。(^^)v
予備もヤフオクでGET済み。
IP電話付のモデムも試したけど、
有線電話はそんなに使わないから、IP電話はやめた。

6 ：

12MのプレゼントでWD605CVもらって使ってるが、同回線で比べてWD302CVや
MS4に比べてかなりLink速度いい。モデムの性能差もけっこうあるよなあ。

7 ：

>>6
特にリンク速度が低い程、新型モデムの効果は大きいんじゃないかなぁ。
リンク速度2M以下なら、新型モデムを試してみるのも良いかも。
今住んでいる場所だと、DR202C 、フレッツ12Mで、
8Mを切る位でリンクしているから、これで十分なんです。
(LINK速度 500K程度上がったとしても、あまり変わらないんで)

8 ：

WD606CVを無線ルーター化したのですが
挿した無線LANカードの「PWR」ランプと「ACT」ランプが常時同時に点滅しています 。
これは常時点灯ではなく点滅しているものなんでしょうか？
フタを閉じていてもちょっと目障りなものでorz

9 ：

605CVより、V1モデムの方がリンク速度高かった。
実効速度は変化無かったけど。

10 ：

DR202C使ってるけど、telnetでログインして色々やってみると面白いな。

11 ：

>>8
点滅しているよ。
LEDに黒いテープか紙でも貼ったら。

12 ：

>>11
レスありがとうございます
ところで11さんのカードは純正のWL54AGですか？
私の使っているのは純正でないからこうなるのかなと思いまして・・・
使えてはいるんですが点滅することでモデムに負担がかかっているのでしょうか？

13 ：

>>12
NETGEAR のWG511Uです。
負担があるかどうかはわかりません。
今はWD605CVで、以前は606を使ってましたがハードのトラブルは全くなかったので影響はないように思いますが。

14 ：

>>12
WL54AGをWD606CVで使ってるけど、点滅してるよ。

15 ：

>>12
俺も>>14と同じ。
寝るときは多少気になるがしょうがない。

16 ：

>>13
もしかして前スレでWG511Uが動作可能と報告してくださった方ですか？
だとしたらその節はありがとうございました
それを見てWG511Uを購入して使用しています
>>14>>15
ありがとうございます
純正と同じ動作だと分かりスッキリいたしました

17 ：

AtermDR200/DR300/WD600シリーズってMTU値は変更できるの？

18 ：

telnetで入ってentry wan 22 ppp mtu 1500とかで変えれるみたいだけど、
動作してるかは知らないｗ

19 ：

WD701CVをShield UP!でみたら、ほとんどClosedになっている。
これをstealthにするのにパケットフィルタ設定はどうしているのですか。
Closedでも問題なしといえるけど、Stealthにほうがより安全と思うのですが。
ttp://www.grc.com/

20 ：

>>19
http://pc10.2ch.net/test/read.cgi/hard/1165101492/887

21 ：

>>20
それだとClosedのポートは使えないってことにならないかな。

22 ：

>>21
使えない（拒否または無応答）＝Closedまたはstealth
使える（アプリが待ちうけ中）＝Open
だからそれで問題ないよ。
そのポートを使いたくなった時に再設定すればおｋ。

23 ：

>>22
詳しいことはわからないけど、こちらからリクエストした場合はStealth、Closedともに開くよね。
だけど静的NAPTは、ポートにきたパケットを使ってないアドレスに送るためリクエストに応えなくなるのじゃないかと思ったもので。
ﾛ50 v50 拒否 * localhost/255.255.255.255 TCP * 0-1023 順方向
でとりあえずStealthになったけど、これだとデフォルトのフィルタとかぶっているけどいいのかな。

24 ：

>>23
例えば、使われていないアドレス192.168.0.254へTCP80番を静的NAPTしたとして、
こちらの送信元としてTCP80番を使った場合、
相手からのTCP80番への戻りパケットは192.168.0.254へ送られるのではなく、
送信元としてTCP80番を使ったPCへ届くはず。
Atermは使った事ないから機種個別の事はわからないけどね。
でも、ステルスになるよう設定しても、それほど意味は無いと思うよ。
セキュリティ設定というものは、既に敵から発見されている前提、
攻撃を受けるという前提で設定するものだと思うからさ。

25 ：

>>24
レスサンクスです。よくわかりました。

26 ：

>>23
かぶってる時はエントリナンバーの小さい方が優先されるから問題なし。
>>24
変にポートマップなんかしておくとUDPに穴開かねぇ？

27 ：

650ってリンク切れやすいよな('A`)

28 ：

650って何じゃ?

29 ：

質問があるのですが、
無線LANを導入致しました、アクセスポイントにルータ機能が付いていたので、
ためしに、WD701をpppoeブリッジモードにして、無線LANアクセスポイントを、
ルータ設定にしてみました。
接続は普通に出来たのですが、ここで疑問が
この場合、pppoeブリッジに設定したWD701(192.168.1.1)の設定画面を開くことは出来るのでしょうか？
一応、ルータの向こう側にいるので、ローカルアドレスはルーティングされないから無理ですよね？
設定をやり直したい場合、無線LANアクセスポイントのルータ設定を解除して、
無線LANアクセスポイントのLANポートに繋ぎなおす（ルータの場合、WAN用ポートがある）必要がありますよね？

30 ：

>>19
常時安心セキュリティなら全てステルス
----------------------------------------------------------------------
GRC Port Authority Report created on UTC: 2007-02-24 at 13:06:54
Results from scan of ports: 0-1055
0 Ports Open
0 Ports Closed
1056 Ports Stealth
---------------------
1056 Ports Tested
ALL PORTS tested were found to be: STEALTH.
TruStealth: PASSED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.
----------------------------------------------------------------------

31 ：

>>30
ルーターの設定でどこが変わったか分かりますか。

32 ：

セキュリティの第一歩は、モデムからrouter機能を取り去ること。
このrouterは、NECがアメリカからぱくったものだと思うけど、source codeはない。
自前でrouterくらい用意しなきゃダメでしょう？

33 ：

>>32
むしろ2重ルータ

34 ：

>>32
ブリッジにしたらIP電話が使えない。
それに付属ルーターでステルスになるなら、どういう設定にしているかを知りたい。
別途ルーターを用意するのは、解決策でなく代替え策。

35 ：

>>34
> ブリッジにしたらIP電話が使えない。
市販のIP電話アダプタやIP電話機を使えばおｋ
> それに付属ルーターでステルスになるなら、どういう設定にしているかを知りたい。
>>20のリンク先コピペ
> 887 名前： 不明なデバイスさん [sage] 投稿日： 2007/02/18(日) 06:23:50 ID:GRoXqZ+o
> >>879>>883
> 拒否 (拒否パケットを送信)のポートは、LAN内に存在しないアドレスへ
> 静的NAPTすればステルス (パケット放棄で返答無し) になるよ。
> ICMP（pingとか）に関しても同様だけど、こちらは設定できない機種があるかもね。

36 ：

>>35
別途用意すればなんでもありで、それこそISPを変えればいいじゃんなんてことになる。
ステルスにするのは静的NAPTでもパケットフィルタでも可能だが、
知りたいのは、常時安心セキュリティなら全てステルスという内容。
ルーターの設定を変えたとしたら、どうやってルーターの設定を@niftyが変えたのか、
WAN側からルーターの設定を変更できるとしたら、それは問題だと思うから。

37 ：

>>36
ユーザー側で一切ルーターの設定は変えていませんが何か？
500円/月だし試しに入ってみたらどう？

38 ：

ID:ahnb2dkfは何で勝手にキレてるんだ？

39 ：

>>36
ステルスになるのは VPN の口(xxx.sec.nifty.com)だけだろ。
ルータに割り振られたグローバルアドレスがステルスになるわけではない。
もしルータの脆弱性を攻撃されないためにステルスにしたいなどということであれば
意味無し。

40 ：

>>39
意味なしというのは、常時安心セキュリティのこと、それとも静的NAPTやフィルタのこと？

41 ：

>>40
ジョージ君

42 ：

>>41
レスサンクスです

43 ：

LANないの存在しないアドレスへポートフォワードってLAN内に
パケットの進入を許してる事になるだろ。
そんなアホな事しなくてもパケットフィルタでステルス状態とやらにはなってたし。

44 ：

無線lanカードで使用可能なものは
WG511U WL54AG意外にありますか？

45 ：

オークションでモデムを購入しようと考えているのですが、
型番の末尾の()内が違っても、別のプロバイダで使用出来ますか？

46 ：

>>45
()内はIP電話のグループだから、問題なく使用出来る。
CはNTT-C、KはKDDIかな？

47 ：

>>44
アイオーデータのＷＮ−ＡＧ／ＣＢ２が
ＷＤ７０１ＣＶで使えてる。

48 ：

>>46
ありがとう。検討します。

49 ：

>>29
YAMAHAのRT57iがあれば可能。
ただし、WDを初期化してしまうと設定画面が出なくなるようなので、
ブリッジモード設定後は未設定の接続先を選択しておくと吉。

50 ：

>>29
[WD701]---[スイッOハブ]--[PC]
　　　　　　　　　｜　　｜
　　　　　(WAN）｜　　｜（LAN）
　　　　[無線LANアクセスポイント]
WD701のDHCPサーバ機能はOFF
WD701のLAN側IP　192.168.1.1
無線APのLAN側IP　192.168.1.2
PCのIPアドレス　　　192.168.1.3以降

51 ：

@niftyのADSLモデムWD605CVを無線化して使いたいと考えています。
使用報告のあるNetgear WG511Uを拡張スロットに差した場合、
新11a(W52/W53)のチャンネルも使えるでしょうか。
メーカー推奨のWL54AGは旧11aだけなんですよね。
ちなみに、内蔵無線カードは、Intel/PRO 2915ABG（新11a対応）
です。この組み合わせで使っている方の使用感も伺いたいです。

52 ：

ファームアップでW52対応できるけど。

53 ：

WL54AGリサイクル品、限定100枚で復活してたが、もう在庫寡少になってる。

54 ：

DR202を使っていますがパケットフィルタの設定でWAN側とLAN側を選ぶことができるかと思います。
違いがよく分からないので常にWAN側にチェックを入れて使っているんですが、
LAN側にチェックを入れないとまずいケースというのはあるんでしょうか？
またWAN側・LAN側ともにチェックを入れることができるようですが、この場合はどういう動作になるのでしょうか？

55 ：

>>54
このあたりを参考に。
ttp://www.aterm.jp/manual/e/200ref/202/guide/8/8w_fr5.html
ttp://www.aterm.jp/manual/e/200ref/202/guide/8/8w_m5p.html
PC　→ ルータ → 外部への意図しない流出を防止するのに
LAN側にチェックを入れたほうが楽なケースが有るのでは？
あと、特定のPCに対し外部へのアクセスを制限したい場合とか。

56 ：

WAN側にチェックを入れたときの「送信元」とはweb側を、「宛先」とはローカルネットワーク側を意味し、
LAN側にチェックを入れたときの「送信元」とはローカルネットワーク側を、「宛先」とはweb側を意味している
という理解でよろしいでしょうか？
ちなみにweb側からローカルIPアドレスを詐称してローカルネットワークにアクセスしようとする攻撃を
回避するため次のようなパケットフィルタを定義してみたのですがなぜかweb側と一切通信ができ
なくなってしまいます。設定に何か誤りでもあるのでしょうか？
WAN側
種別：　　　　　　拒否
送信元：　　　　192.168.0.0/255.255.0.0
宛先：　　 　　　*
プロトコル： 　　*
送信元ポート： *
宛先ポート：　　*
方向： 　　　　　順方向

57 ：

たぶん、宛先IPアドレスをしっかり指定したフィルタ以外はWANでもLANでも
どっちでも問題ないと思われ。
便利なのかどうか知らないけど、静的アドレス変換の書き換えをする場所が
WAN側パケットフィルタよりさらにWAN側に出てる事も考慮しなければならないとか
なんかややこし過ぎ。

58 ：

>>56
私もそれほど詳しくなく、ただいま勉強中の身ですので間違っていればご容赦を
「機能詳細ガイド」の「パケットフィルタの設定例」を見たところ
>フィルタ処理を本商品のWAN側（インターネット側）で処理を行うのか
>LAN側で処理を行うのかを指定します。LAN側フィルタは、全接続先共通です。
また「機能詳細ガイド」の「詳細設定−パケットフィルタ設定」には
>WAN側：本商品と接続先との通信のフィルタ。
と書いてありますので、「宛先：*」にすると、モデムのルーターに与えられた
グローバルIPアドレスも含んでしまうのではないのでしょうか？
というわけで、下記の設定ならOKでは？
WAN側のみチェック
送信元IPアドレス：192.168.0.0/255.255.0.0
宛先IPアドレス：localhost/255.255.255.255
プロトコル種別：TCP・UDP・ICMPすべて
送信元ポート：*
宛先ポート：*
方向：順方向
ちなみに上記の設定から「送信元IPアドレス：*」に変更すれば
WAN側からの接続を全部閉じる設定になって
例えばシマンテックのセキュリティチェックで、結果が全部ステルスになります。
拒否より通過の設定が優先されると書いてありますので
必要ならば必要なポートだけ開けるという感じになります。
また、ご心配のIP Spoofing攻撃は
「詳細設定−高度な設定」で、セキュリティ保護機能 (初期値：使用する)
にしておけば、そちらでも防いでくれるようです。
Aterm Support Information （トップページ）
http://www.aterm.jp/eaccess/index.html
どうやら住友電工のモデムからNECのモデムに変わったことで難儀されている
ようですが、メーカーによって設定項目がずいぶん違いますよね。

59 ：

>>58
宛先IPアドレスを*からlocalhost/255.255.255.255に変更することで問題なく通信できるようになりました。
アドバイスありがとうございます。
ただ・・・
> >WAN側：本商品と接続先との通信のフィルタ。
> と書いてありますので、「宛先：*」にすると、モデムのルーターに与えられた
> グローバルIPアドレスも含んでしまうのではないのでしょうか？
仮に*でルーター自身のグローバルIPアドレスを含んでしまったとしても、送信元IPアドレスとして
送信元IPアドレス：192.168.0.0/255.255.0.0
詐称に使われることが想定されるローカル用IPアドレスを指定しているので通常の通信では
このフィルターは適用されないはずなんですが・・・。たとえばYahoo!のサイトに訪問して、
送られてくるwebデータの送信元IPアドレスが192.168.0.0/255.255.0.0であることはまず考えられないことです。
> LAN側フィルタは、全接続先共通です。
この注意書きも確かに書いてありますがいまいち言いたいことがわかりません・・・
LAN側にチェックをいれると全接続先は共通になるから宛先IPアドレスに何を指定しても
違いは生じないということなんでしょうか？
> どうやら住友電工のモデムからNECのモデムに変わったことで難儀されている
> ようですが、メーカーによって設定項目がずいぶん違いますよね。
はい、私もDR202を使う前は住友電工とNTT-MEのモデムを使っていました。
どちらも直感的に分かりやすい内容だったのですんなり設定できたんですが
DR202になってからだいぶ様変わりしまして今まで直感的にできていたことが
詰まるようになってしまいました。その分設定の自由度が高いということなんでしょうか？

60 ：

>>56
「WAN：チェック、宛先：何処かの外部IP、送信元：Localhost」なんて設定もアリだから　
「送信元・宛先」と「どちら側」は無関係。
設定例の図を見ると 「WAN側フィルタ <-> NAT <-> LAN側フィルタ」のようなので
その設定でよさそうだけど・・・
ttp://www.aterm.jp/manual/e/200ref/202/guide/8/8w_m5pp.html
を見ると、LAN側IPを指定したフィルタに対してWAN側にチェックするように
記載されているので、>>57さんが書いているように 静的NATもWAN側フィルタの
外側にあるのかもしれない。
>>58
Web上のどこかのIP ≠ 192.168.0.0/16 だから、>>56さんが例にあげたフィルタルールには
引っかからないと思う。　
>・・・LAN側フィルタは、全接続先共通です。
こう書かれて気が付いたけど、これがWAN側チェック・LAN側チェックを
使い分ける理由なんでは？
　
　
　

61 ：

>>57
> たぶん、宛先IPアドレスをしっかり指定したフィルタ以外はWANでもLANでも
> どっちでも問題ないと思われ。
DR202のデフォルトで定義されているパケットフィルタのうち、1番と14番はLAN側かWAN側かの
違いを除いて全く同じ内容です。
01番
LAN側
種別：　　　　　　拒否
送信元：　　　　*
宛先：　　 　　　*
プロトコル： 　　TCP
送信元ポート： netbios
宛先ポート：　　*
方向： 　　　　　両方向
14番
WAN側
種別：　　　　　　拒否
送信元：　　　　*
宛先：　　 　　　*
プロトコル： 　　TCP
送信元ポート： netbios
宛先ポート：　　*
方向： 　　　　　両方向
この場合、1番と14番は本質的に同じ設定で、どちらかが欠けても動作は全く同じという
ことにはならないでしょうか？それとも1番も14番もどちらも必要なフィルタなんでしょうか？

62 ：

>>61
14番は宛先がnetbiosで送信元は*になってね？
うちの605はそうなってる。

63 ：

LANとWANを使い分ける意味って
07 拒否 * localhost/255.255.255.255 TCP * www 順方向
みたいなルールにしかないと思う。

64 ：

>>62
あ、そうです。宛先ポートです。失礼しました。
ちなみに1番と14番、どちらもWAN側、あるいはLAN側に統一してしまうと
まずいんでしょうか？
あと設定次第ではWAN側とLAN側の両方にチェックを入れることもできるんですよね？
WAN側とLAN側の両方にチェックを入れる使い方は想定されてるんでしょうか？

65 ：

http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/apply-filter-to-interface.html
NECにもこういった解説があると良いのにね

66 ：

うーん、統一しても問題はない感じだけど、デフォルト設定をあえて触る事もないと思われ。
14番はWAN側がチェックされてると思うけど、web.setup(192.168.0.1)の
ポート137と138への通信はフィルタされてる動作になる。
WANとLANの同時チェックは>>63のルールが良い例だと思われ。
同時にチェックするとWAN側からはもちろん、LAN側からもクイック設定Webに
入れなくなるはずｗ

67 ：

あっごめん、1と14は統一すると互いに干渉し合う可能性がある。
>>66の
>web.setup(192.168.0.1)のポート137と138への通信はフィルタされてる動作になる。
は14は関係なくて接続要求自体はモデムに到達してる。
でも1のルールで接続できないよって返信がフィルタされるからフィルタされてるように
見えただけだった。
>>65ほど豪華な絵がなくても>>60の内容だけで基本的な部分は理解できる動作だ。

68 ：

ちなみにデフォルトフィルタの意味はこんな感じらしい。
1,2,3 nocall 不正ＰＯＰＵＰ防止
4,5,6,7 access-limitation WAN側からのアクセス制限
8,9,10,11,12,13 trojan-horses トロイの木馬対策
14,15,16,17,18 file-sharing 情報漏洩防止

69 ：

>>58さんのアドバイスでweb側からのローカルIPアドレスで詐称したアクセスを禁止するフィルタは
WAN側のみチェック
送信元IPアドレス：192.168.0.0/255.255.0.0
宛先IPアドレス：localhost/255.255.255.255
プロトコル種別：TCP・UDP・ICMPすべて
送信元ポート：*
宛先ポート：*
方向：順方向
でokなことがわかりました。ありがとうございました。
さて、この手の詐称を防止するにはもう一つ、LAN内からwebに向けてローカルIPアドレスで詐称した
アクセスを禁止するフィルタを用意することが推奨されています。つまりインターネット上に本来
あってはならないローカルIPアドレスを送信元アドレスとするパケットを自分が加害者となって
出さないことを目的とするフィルタです。
このフィルタをDR202で構築するにはどう設定すればよろしいでしょうか？
これこそが「LAN側にチェック」をいれるべきフィルタなのでしょうか？

70 ：

いや、WAN側。DR202もLANに入れてやろうｗ

71 ：

ちょっと試してみたけど、LAN内IPアドレスがWAN側アドレスに書き換えられる(NAT)のは
WAN側パケットフィルタのさらにWAN側(ポートマッピングと同じ場所？)らしい。
だからこのパケットフィルタでは本物なのか偽装なのか見分けることはできないっぽい。
結局WAN側LAN側のチェックは、モデムがWAN側にあるものとして考えるか
LAN側にあるものとして考えるか程度の差しか出ないって事なのか…。

72 ：

>>69
>>70さんがかいているようにWAN側にチェックしないとPC→DR-202も
アクセス不可になる。
NATが動作していれば送信元はルータのWAN側IPに変換されるから
特にルールは不要では？ルータによってはNATの適用・除外が設定
できるけどDR-202はNAT除外の設定ってできるんだろうか？
>>71
>>56さんのフィルタを追加してWebを検索いしょうとすると、通信ログで
送信元 = 192.168.0.0/16（PCのIP）で引っかかっているから、NATは
WAN側フィルタの外側っぽいけど・・
ただ設定例を見ると宛先がlocal hostの事例も書かれていているので
WAN側フィルタの内側っぽいしで良く分かりませんね。
LAN側・WAN側の使いわけは
LAN側 ： 全接続先共通
WAN側 ： 接続先ごと
じゃないかな？
まぁフレッツだったら複数プロバイダへの同時加入もアリだけど
イーアクはプロバイダと抱合せ加入だし、接続プロバイダ毎に
フィルタを分けるとしてもメールサーバー・DNS・NTPのみ許可くらい
しか用途が思い浮かばないけど。
　


　 　

73 ：

ちょっと話は元に戻るんですが、web側からローカルIPアドレスを詐称したアクセスをフィルタリングするため
WAN側
種別：　　　　　　拒否
送信元：　　　　192.168.0.0/255.255.0.0
宛先：　　 　　　*
プロトコル： 　　*
送信元ポート： *
宛先ポート：　　*
方向： 　　　　　順方向
のように設定したのですが、結果全通信が遮断されたのに対して、
WAN側
種別：　　　　　　拒否
送信元：　　　　192.168.0.0/255.255.0.0
宛先：　　 　　　localhost/255.255.255.255
プロトコル： 　　*
送信元ポート： *
宛先ポート：　　*
方向： 　　　　　順方向
宛先をlocalhost/255.255.255.255に変更したら問題なくアクセスできるようになった件に関して
モデムのログを見てみていったい何が起きてるのか調べてみることにしました。
結果前者の全通信が遮断されたとき、Yahoo!にアクセスしようとして弾かれたときのログは
IP_Filter REJECT TCP 192.168.0.2:1298 > 203.216.247.225:80 (IP-PORT=6)
のようになっていました。この場合だと送信元(192.168.0.2)がLAN側で、宛先（203.216.247.225）がWAN側
という解釈になるかとおもいます。私はてっきりWAN側にチェックを入れると送信元は常にWAN側に固定
されているのかと勘違いしていましたがどうやら通信毎の送信元を意味しているのでWAN側のときもあれば
今回のログに残っていたようにLAN側のときもあるということなんですね。以前使っていた住友電工や
NTT-MEのモデムの設定では「送信元」と「宛先」がWAN側・LAN側のどちらを向いているのかは指定して
固定することが可能だったのでDR202に乗り換えたときに頭の中で混乱が生じたみたいです。

74 ：

以前の全通信が遮断されていたフィルタは
送信元：　　　　192.168.0.0/255.255.0.0
宛先：　　 　　　*
となっていました。確かにローカルIPアドレスを詐称したWAN側(192.168.0.0/255.255.0.0)から
LAN側の全てのPC(*)へのアクセスは弾いてくれますが、同時にLAN側(192.168.0.0/255.255.0.0)から
Yahoo!などを含むWAN側の全てのサーバー(*)へのアクセスを弾く諸刃の刃的なフィルタでも
あったわけなんですね。
そこで宛先を*からlocalhost/255.255.255.255に変えたことで、
送信元：　　　　192.168.0.0/255.255.0.0
宛先：　　 　　　localhost/255.255.255.255
Yahoo!といったグローバルIPアドレスを所持するWAN側のサーバーへの通信にこのフィルタが
適用されることがないようにすることができたようです。

75 ：

さて、これでWAN側からローカルIPアドレスを詐称したアクセスは弾くことが出来るようになったわけですが
逆に所有しているPCが踏み台にされて、LAN側からWAN側へローカルIPアドレスを詐称した通信が漏れる
ことを防止するフィルタは送信元と宛先をそっくり入れ替えてやればよさそうですね。
WAN側にチェック
種別：　　　　　　拒否
送信元：　　　　localhost/255.255.255.255
宛先：　　 　　　192.168.0.0/255.255.0.0
プロトコル： 　　*
送信元ポート： *
宛先ポート：　　*
方向： 　　　　　順方向
あるいはDR202に「方向」というオプションがあることを考えると、順方向を両方向に変えることで
2つのフィルタを以下のように1つのフィルタに統合することができるかもしれません。
WAN側にチェック
種別：　　　　　　拒否
送信元：　　　　192.168.0.0/255.255.0.0
宛先：　　 　　　localhost/255.255.255.255
プロトコル： 　　*
送信元ポート： *
宛先ポート：　　*
方向： 　　　　　両方向
※両方向してみましたが、今のところweb・メールとも問題なく通信できています。

76 ：

外とのUDPの通信ってできてる？
例えばプロバイダのDNSサーバのIPアドレスが192.0.2.10だったら
nslookup example.com 192.0.2.10
ってのをコマンドプロンプトで実行してexample.comのIPアドレスが引けるかどうか。
普段はDR202とかのキャッシュ付きDNSフォワーダを使ってるから
UDPが使えなくなってる事に気づかなかったりするんだよね。

77 ：

はい、
Non-authoritative answer:
Name: example.com
Address: 192.0.34.166
という返答が帰ってきたのでおそらく通信はできていると思います。

78 ：

なら大丈夫か。
あ、そういえば、ICMPはデフォルトで応答しないみたいだし、TCPはステルス状態に
してしまえばいいから、プライベートアドレス関係は>>75をUDPだけにしてWAN側に
適用するだけでいいんじゃないかな？

79 ：

ところで話は変わるのですが今までは
http://web.setup/
でモデムの設定画面に入れていたのがいつの間にか入れなくなっていました。
IPアドレスを直接指定すれば
http://192.168.0.1/
問題なく入れます。
web.setupで名前解決できなくなった理由は何でしょうか？

80 ：

>>79
ルータ内部で行っている名前解決がパケットフィルタではじかれている。
http://web.setupで入れている時・入れない時の通信ログを比較するか
Etherealあたりでキャプチャしたパケットを比較すれば解決するでしょう。

81 ：

>>80
う〜ん・・・、パケットフィルタはデフォルトに戻して、設定もDHCPで192.168.0.12番から32個
割り振るという設定した箇所とUPnPをオフにした以外はどこも変えていないんですが
それでも
http://web.setup/
ではアクセスできないですね・・・。
あとPCのIPアドレスは192.168.0.2を割り振り、DNSサーバーはISPから提供されているものを
明示的に入力しています。

82 ：

>>81
> DNSサーバーはISPから提供されているものを明示的に入力しています。

83 ：

じゃあ、UDPの返りがフィルタされちゃってるんだな。
>>75の下のやつをTCPだけにするか解除してみな？

84 ：

>>82
う〜ん・・・、DNSサーバーを指定するとLAN内の名前解決はできなくなるんでしょうか？
ちなみにネットワークにつながった東芝のRD-H1というHDDレコーダーがあるんですが、
その器機には
http://rd-h1/
というURLで問題なくアクセスできています。
http://web.setup/
がダメで
http://rd-h1/
が問題なくアクセスできるのが不思議です・・・
>>83
はい、追加したフィルタのWAN側のチェックは全て外しています。
それ以外にいじったパケットフィルタはありません。

85 ：

>>84
>DNSサーバーを指定するとLAN内の名前解決はできなくなるんでしょうか
PC・ルータ・ISPのDNSのうち、http://web.setup/ ⇔192.168.xx.xxの
名前解決ができるのはどれか？大火事を見るより明らかと思うが
>追加したフィルタのWAN側のチェックは・・・
ルータにアクセスできるかどうかが問題の時にWAN側のチェックは無関係

86 ：

ああ、web.setupを仕込んでるのがルータのDNSフォワーダって基本的な部分か。

87 ：

NICにDHCPではなく固定IPアドレスを割り振ってしまったら、DNSサーバーは何かしらの
値で固定する必要があるので（多くのケースではISPより割り振られたDNSサーバーを入力する）
その場合は
http://web.setup/
ではアクセスできなくなってしまうということですね？
つまり上記のアドレスが使えるマシンはDHCPでIPアドレスを割り振ってもらい、なおかつDNSサーバー
もルーターより割り振ってもらうタイプでなければならないということですか？

88 ：

DNSサーバが192.168.0.1になるように設定するだけでおｋ

89 ：

>>88
ISPからは手動割り当て用にプライマリとセカンダリの二つのDNSサーバーを用意してもらっているんですが
これは一切無視してネットワークの設定でプライマリのところだけに192.168.0.1と入力すればいいのでしょうか？

90 ：

WindowsのDNS Clientサービス並みのキャッシュでよければな。
ISPのDNSサーバはレスポンスが悪い、ルータのキャッシュはって事で
結局自前でDNSサーバを用意したｗ

91 ：

それは気合い入ってますな。

92 ：

その時は気合が入り過ぎていたのでこんな設定もしてある。
zone "WARPSTAR-XXXXXX." IN { type forward; forward only; forwarders { 192.168.0.1 port 53; }; };
zone "setup." IN { type forward; forward only; forwarders { 192.168.0.1 port 53; }; };
zone "1.0.168.192.in-addr.arpa." IN { type forward; forward only; forwarders { 192.168.0.1 port 53; }; };
それと zone "0.168.192.in-addr.arpa." IN のゾーンファイルに
$ORIGIN 0.168.192.in-addr.arpa.
1 NS ns.invalid.
ns.invalid. はDNSサーバのマシンのIPアドレスが返るようにしておけばいいのかな？
そこは今となってはあいまいだなｗ
で、この設定をすると基本はDNSサーバが名前解決を行って、web.setup. とか
モデム関係の名前を引こうとした時はモデムに問い合わせる。
まぁ、HOSTSに192.168.0.1 WARPSTAR-XXXXXX web.setupって書くのが一番楽だったんだけどなｗ

93 ：

Aterm WD701CVの実効スループット知ってる人いませんか？
ルータ機能の方です。
２重ルータは面倒なんでまともな速度ならハブにＰＣぶら下げようかと思ってるんですが。

94 ：

イーアク１２ＭでＷＤ６０５ＣＶを使い、ＩＰ電話設定
していますが、固定電話へかかってきた電話が着信しません
呼び出し音が鳴らないのです
このため、相手からは電話をかけても出ないといわれました
何か設定が間違っているのでしょうか？
ＩＰ電話は使用可能です

95 ：

電話機の回線種別設定は合ってる？

96 ：

>>95
着信に回線種別設定は無関係

97 ：

>>94
配線が正しくてVoIPランプが緑点灯していたら、特にいじるところがないような気がしますが。
スプリッタのPHONEの方か、直接モジュラージャックに電話機を接続して
携帯とか公衆電話から固定電話の番号にかけてみたら？

98 ：

>>94
スプリッタのTELポートとモデムの電話回線ポート（黄）の接続が切れてる可能性が高い。
もいちど接続を確認。遊んでるTEL線があれば、そいつで試しに接続してみる。

99 ：

>>95-98
いろいろアドバイスありがとうございました
いま帰って見たところなので、参考にして
やってみます

100read 1read

1read 100read

TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲

ブロードバンドとなんでもこい!@四国 (509)
NTT西日本 part2 (817)
アレスネットってどうよ？ (442)
[緊急]日本で一番安いプロバイダ[一生の願い] (420)
ＣＮＯ　大田ケーブルネットワーク (809)
【関電】eo市ね (264)
--log9.info------------------
◆【豪雨】　レッズ本スレ【襲来】◆ (544)
三菱笑　レッズ本スレ (512)
☆　俺たちの誇り浦和レッドダイヤモンズ　ワ板☆ (142)
☆夢一岩☆ サガントス 避難所＠WC板 2幕 (208)
移籍・レンタル・戦力外「ら」スレ避難所 19 (423)
☆〓〓〓川崎フロンターレ避難所@WC板 5〓〓〓☆ (907)
◆◇◆　横浜F・マリノス　避難所　part9　◆◇◆ (439)
【ワ板で】CSKA Moscow 本田圭佑【スレ立て】 (728)
ロンドン五輪 (433)
◆2014 FIFAワールドカップ アジア予選◆ 10 (290)
海外組総合スレ (102)
【柳沢】急にボールが【QBK】★５６ (870)
◆レッズ本スレ◆ (1001)
■韓国による審判買収総合スレ 14■ (662)
ﾌﾞｰﾀﾝ代表がW杯に出るまでひたすらage続けるスレ4 (333)
レッズ本スレ　開幕専用 (119)
--log55.com------------------
阿含桐山杯
○●プロ試験情報スレッド　第9局○●
【囲碁】芝野虎丸 応援スレ 最強伝説その1
プロジェクト発進〜囲碁棋譜データベース〜　その3
プロ棋士はボードゲームで遊んでるだけのニート
●学生囲碁界情報板part14○
公式戦通算成績
藤沢秀行死す！