メルコ "BroadStation"「BLR-TX4L」 その2

2chのプロキシ規制（ポート80）の板に書きこみできず、困っています。
BLR-TX4Lを使用しているヤフーBBユーサーです。

ルーター側の（ポート80）がデフォルトで空いているらしいので
ttp://members.tripod.co.jp/sas_beach/blr-tx4l.htm
これを閉じようとtelnetで設定を試みていますが、上手く行きません。

以下デフォルト設定です。
Menu 21.3.3 -TCP/IP Filter Rule

Filter #: 3,3
Filter Type=TCP/IP Filter Rule
Active=Yes
IP Protocol=6 IP Source Route=No
Destination: IP Addr=0.0.0.0
IP Mask=0.0.0.0
Port #=80
Port # Comp=Equal
Source: IP Addr=0.0.0.0
IP Mask=0.0.0.0
Port #=
Port # Comp=None
TCP Estab=No
More=No Log=None
Action Matched=Drop
Action Not Matched=Forward

何が良く無いのでしょうか。
それとも「WWW、FTP、Telnetのパケットを破棄するフィルタが定義されているが、
これは実際には有効になっていない。」
ってのは根本的に不可能なのかな。

>>44
「Menu 11.1 - Remote Node Profile」の「Session Options:」の「Edit Filter Sets」を
YesにしてEnterかカーソル動かすと、「Menu 11.5 - Remote Node Filter」ってのに
入るから、そこの「Input Filter Sets」の「protocol filters」ってのを見て、3が無かったら
（確かデフォルトでは有効になってなかったような…）追加してみそ。

ただ、デフォルトで、外からのHTTPが有効になってるってのが引っかかってます。

>>44
自分もY!BBだが書きこめない板が突然できた。
2chのポートスキャンはちゃんとdropしているし、ip anti 0にしているのになぜだ？

http://pc3.2ch.net/test/read.cgi/hard/1001025235/869
って間違えてる。

http://teri.2ch.net/test/read.cgi/sec2ch/1026713305/3
これ絡みか？

BLR-TX4Lを安く売ってるところってない？
BLR2-TX4Lでもいいんだけど、家の回線速度が500kbpsなんで
スループットが早くてもあまり意味無いので・・・。
価格.comは見たけど、更新されて無いみたいなので（汗

>49
そこらで4000円台で売ってない？

>48
その可能性もありかも・・・。迷惑な奴だ。
まぁとりあえずここに書きこめるのはありがたいです。

>49
http://uriuri.joshin.co.jp/scripts/shopview/vmedama3.cgi?cd_jan=A9632&ret=/shopview/jpdirect/10-8-1.htm

>50
価格以前に、この機種ってお店にはもうほとんど
置いてないんですよね。
>51
\4,980ですか、安いけどこの辺りが限界かなぁ。
BLR2-TX4Lの最安値が\6,659だから微妙。
でも参考になりました、ありがとう。

>>45さんの方法で
TCP/IP Filter Rule の３を有効にしてみました
そしたら、ネットに接続不能になってしまいました。
input、output片方ずつ試していますが、駄目みたいです。
新しく設定を作り直しても同じでした。

>>47さんの
2chのポートスキャンだけをdropするって意味が
ちょっと良く分からないのですが
詳しく御聞かせ頂けないでしょうか。

>>53
TCP Estab=Yesにするんじゃなかったっけ…以前そんな議論があった記憶が。
（良くわからなかったけどｗ）

ttp://pc.2ch.net/test/read.cgi/sec/1002776091/
イロイロ調べたら
一部の板では
ポートスキャンを破棄してしまうと
書きこみできないらしいです。
拒否しないと逝けないらしい（リジェクトっていうのかな？）。

私の知識では問題の解決方法がわからないのですが
コレってBLR-TX4Lの設定でどうにかなります？
ZoneAlarmとかで高度な操作が必要？

教えちクリ

>>55
ああ、そうなんですか…う〜んと、鯖を立ててないならば、24-8でコマンドモードに入って、
「ip antiprobe 0」でリジェクトになります。ただこれうをやると、他からのポートスキャンで
存在が見えてしまうので、２ｃｈ以外の鯖からはdropというルールを書いておいたほうが
良いかも知れません。

>>56
すみません。
軽い気持ちでコマンドモードに入ったら
わかかめ状態になってしまいました。
助けて〜。

>>57
とりあえず「exit」で抜けられます。

＞２ｃｈ以外の鯖からはdropというルールを書いておいたほうが 良いかも知れません。
確認しないで書いたが、「ip antiprobe 0」でdropしたらどうなるんだろ？？

ありがとー！
Download板に書き込み可能になりました。

ステルスモードを抜けるのに使うコマンドなのですね。
https://grc.com/x/ne.dll?bh0bkyd2
の結果がステルスからクローズに変わりました。
閉じていればセキュリティ的には問題ないですよね。

あと、できましたらステルスモードを復活させる方法って教えてもらえませんでしょうか。

>>59
＞ステルスモードを復活させる方法
ip antiprobe 1
です。

「ip antiprobe 0」でドロップさせるとどうなるかの件ですが、ちゃんと捨てられました（ステルスになる）

>60
2chポートスキャン対策として、ip anti 0にするだけで、
2chポートスキャンのパケットをDropする必要はなかったんですね。

>>61
今の所、ドロップすると、>>55の状況になって書き込み出来なるなるみたいですね。
（私のプロバはポートスキャン受けないので、細かい事は判りませんが…）
ただ、トオルがなんか違うチェックの仕方を考えているらしいので（テスト鯖の方の
スレに書いてあった）また状況が変わってくるかも知れません。

SYNのみのパケットはフィルタリングでForwardしても
NAT,DMZ等の設定をしていなければ
ip antiprobe 0であればRSTを返して、
ip antiprobe 1であれば破棄なんですね。

鯖を立ててなくNAT,DMZも設定していない状態でフィルタリング
(http://www.vex.net/~wadialix/security/netgear.html みたいなもの)
をしている漏れの場合は、
優先度の高いところでTCP Estab=Yes,Sourceを2chな鯖にして、
Action Matched=Forward,ip anti 0って感じで
2chポートスキャン対策になりました。

せっかく対策したところで、トオル氏が違うチェックの仕方にしたら意味なくなるなぁ・・・。

>>63
レベルが高すぎてついて逝けない（悲。

今日、勉強のためと思って、会社でRT314の英語マニュアルDLして
軽い気持ちで印刷開始したら、100ページ超えてて小パニック。
フロアに一台しかプリンターなくて他の人から、
「何印刷したんだゴラァ！」って言われるし、
英文印刷したのがバレて英文スラスラ？みたいな勘違いされてるし。
道ｊは険しい。

BLR-TX4LかBLR2-TX4Lを買おうと思っている者です。
過去ログも読んだのですが、PPPoE接続時、切断、再接続を簡単に
行う方法はないのでしょうか？IPだけ変えたい時があるので。
ブラウザの設定画面に項目はないようだし、telnetに入るのは面倒
ですが、バッチファイルみたいなのは作れませんか？
強制切断だとフレッツなので5分間再接続不可になってしまいます。

うう、皆様のおかげで書き込みができるようになりました。感涙。
ほんとにありがとうございます。

ただ、今は ip antiprobe 0 しか設定していないので
2ch以外の鯖からは drop というルールを追加したいのですが、
Sourceを2chな鯖、TCP Estab= Yes、Action Matched= Forward
で、Action Not Matched= drop にしたら2chにもアクセスできなくなってしまいました。

2ch以外の鯖からは drop するにはどのように設定したら良いのか、
よろしければご教授願えませんでしょうか？

>>66
http://www.vex.net/~wadialix/security/netgear.html
の例のprotocol filtersの1の前に、>>63のフィルタを入れて
(Action Not Matched= Check Next Rule)
その続きで、フィルタ例の#1,1と#1,2と#1,4を入れてやればOKっす。
(フィルタ例#1,4でフィルタが終わるのであれば、Action Not Matched= Forward)

#1,3も入れてやってください。抜けていたのに気がつかなかった。

>>67
レスありがとうございます。
>>63のようにフィルタをいれて、それに続けて教えて頂いたページの
#1,1〜#1,4をフィルタルールとして追加してみたんですが(合計6つのフィルタ)、
2chを含めてどっこにもアクセスできなくなってしまいまして…。･ﾟ･(ﾉД`)･ﾟ･｡
もそっと勉強してみます…。

>69
大変失礼したしました。DNSを通し忘れてた(^^;)
>67のさらに前に
IP Protocol=17,Destination Port=68,Source Port=67,
Action Matched=Forward,Action Not Matched= Check Next Rule
というフィルタを入れてやってくださいな。

>70
間違ったことを教えてぱにくってます。DNSを通し忘れたわけではありませぬ。

やっぱりDNS通し忘れているし・・・。ぱにくるとダメですなぁ。
>67 実際に自分で試さずにダメなフィルタリング例をあげてごめんなさい(_ _)

まとめ
1 Y IP Pr=17, SA=0.0.0.0, SP=67, DA=0.0.0.0, DP=68 N F N
2 Y IP Pr=17, SA=0.0.0.0, SP=53, DA=0.0.0.0 N F N
3 Y IP Pr=6, SA=216.218.128.0, DA=0.0.0.0 N F N
4 Y IP Pr=6, SA=65.19.128.0, DA=0.0.0.0 N F N
5 Y IP Pr=6, SA=65.119.134.162, DA=0.0.0.0 N F N
6 Y IP Pr=6, SA=64.71.128.0, DA=0.0.0.0 N F N

1 Y IP Pr=6, SA=210.224.161.33, DA=0.0.0.0 N F N
2 Y IP Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP<1024 N D N
3 Y IP Pr=17, SA=0.0.0.0, DA=0.0.0.0, DP<1024 　N D N
4 Y IP Pr=6, SA=0.0.0.0, DA=0.0.0.0 N D N
5 Y IP Pr=0, SA=0.0.0.0, DA=0.0.0.0 N D F
6 N IP Pr=0, SA=0.0.0.0, DA=0.0.0.0 N N N

前半の1はなくてもいいのかも。
で、2chな鯖のサブネットマスクは、
64.71.128.0/255.255.128.0
210.224.161.33/255.255.255.255
216.218.128.0/255.255.128.0
65.19.128.0/255.255.240.0
65.119.134.162/255.255.255.255
だと思う・・・。変なところは指摘をよろしく！
あとはスプーフィングを防止するフィルタとかもあった方がいいかも。

連続投稿ですみません。
前半の3〜6と、後半の1,4は、TCP Estab= Yesです。
また、後半の5のみIP Source Route= Yesです。

もうぼろぼろっす。駄レス続きで失礼。2chな鯖について訂正。
今日現在で、漏れの見間違えや電卓の叩き間違えがなければ、
64.71.128.0/255.255.192.1
65.19.134.162/255.255.255.255
65.19.142.0/255.255.255.0
210.224.161.33/255.255.255.255
216.218.128.0/255.255.128.6
です。>72のフィルタもそれにあわせて訂正です。。。(_ _)