YAMAHA業務向けルーター運用構築スレッドPart2
すみません、スレチで、KYなんですが、
NGN網においてIPv6をIPoEで使おうと計画しています。
IPv6のフィルタリングの考え方がわかりません。
IPv4 をPPPoEで使っている場合なら、PPインタフェイスに、
1、「IPマスカレード」
2、「OUT方向の、PASS動的フィルタ(いくつかのアプリに対応)」
3、「IN方向の、ALLリジェクト静的フィルタ」
4、「OUT方向の、WINDOWSファイル共有パケットリジェクト静的フィルタ」
くらいを掛けると思います。(もし、お勧めがあればこれも教えてください)
しかし、さきのIPv6通信であれば、
HGWに接続しているLANインタフェイスに直接IPフィルタを掛けることになると思います。
NATは使わないことになるので、セキュリティーがやや心配です。
IPv6でも、上の動的フィルタの考えは通用するでしょうか。
単にWEBサーバやメールなどのインターネットアクセスができればいいので、
お勧めの設定例があれば、その提供ページなどを教えてください。
NGN網においてIPv6をIPoEで使おうと計画しています。
IPv6のフィルタリングの考え方がわかりません。
IPv4 をPPPoEで使っている場合なら、PPインタフェイスに、
1、「IPマスカレード」
2、「OUT方向の、PASS動的フィルタ(いくつかのアプリに対応)」
3、「IN方向の、ALLリジェクト静的フィルタ」
4、「OUT方向の、WINDOWSファイル共有パケットリジェクト静的フィルタ」
くらいを掛けると思います。(もし、お勧めがあればこれも教えてください)
しかし、さきのIPv6通信であれば、
HGWに接続しているLANインタフェイスに直接IPフィルタを掛けることになると思います。
NATは使わないことになるので、セキュリティーがやや心配です。
IPv6でも、上の動的フィルタの考えは通用するでしょうか。
単にWEBサーバやメールなどのインターネットアクセスができればいいので、
お勧めの設定例があれば、その提供ページなどを教えてください。
|
|
|
IPv6は未踏の域の者だけど、とりあえず以下の
ハードウェア板で、そのスレをv6で検索かけるといろいろ出てくるから
そこに示されるリンクやpdfファイルを読みあさってみるといいのかも。
【NTT】フレッツ光・ひかり電話対応ルータ Part20
http://toro.2ch.net/test/read.cgi/hard/1364137009/
他にもNECや牛ルータスレにも(これらにはノイズも多いので忍耐強く)。
よくアドバイスしてる猛者はここにも出没しているようだけど、
取り急ぎ、痕跡案内くらいはできるから
ハードウェア板で、そのスレをv6で検索かけるといろいろ出てくるから
そこに示されるリンクやpdfファイルを読みあさってみるといいのかも。
【NTT】フレッツ光・ひかり電話対応ルータ Part20
http://toro.2ch.net/test/read.cgi/hard/1364137009/
他にもNECや牛ルータスレにも(これらにはノイズも多いので忍耐強く)。
よくアドバイスしてる猛者はここにも出没しているようだけど、
取り急ぎ、痕跡案内くらいはできるから
>>245
相手がPPPoEだろうと、IPoEだろうと、PPに対してフィルタかけることに変わりは無い。
IPv6で一番単純な形だと、
OUT方向の動的フィルタと、基本IN方向のALLリジェクト、
ただし、IPv6の場合IPv4と違って、ICMPはフィルタしちゃ駄目。
ICMPv6として、必ず通すこと。
後は必要に応じて、IN方向のルール追加してけばい良いよ。
てか、"yamaha ipv6 ipoe"でググると、一番最初に
ttp://jp.yamaha.com/products/network/solution/flets-next-ipv6_ipoe-rtx1200/
これ出てくるんだが・・・。
ちったー調べる努力しようぜ。。。
相手がPPPoEだろうと、IPoEだろうと、PPに対してフィルタかけることに変わりは無い。
IPv6で一番単純な形だと、
OUT方向の動的フィルタと、基本IN方向のALLリジェクト、
ただし、IPv6の場合IPv4と違って、ICMPはフィルタしちゃ駄目。
ICMPv6として、必ず通すこと。
後は必要に応じて、IN方向のルール追加してけばい良いよ。
てか、"yamaha ipv6 ipoe"でググると、一番最初に
ttp://jp.yamaha.com/products/network/solution/flets-next-ipv6_ipoe-rtx1200/
これ出てくるんだが・・・。
ちったー調べる努力しようぜ。。。
IPV6覚えるの、マンドクセー
あかんで、それ爺の始まりや
おれ? もちろん爺や
おれ? もちろん爺や
>>248
こういうYAMAHA公式見解がお手本になります。
ありがとうございます。
OUT方向の動的フィルタによるPASSは理解しました。
IN方向の静的フィルタの、tcp/ident と、udp/546ってなんでしょう。
(icmpは、ipv6ではルータ間の各種調整のために必須なんですね。古い本で一度勉強したのですが、詳細はすっかり忘れました。)
IPv4で運用しているRTX1200にはこのident と、546は設定していません。
・identは古い技術でもはや使われていないといいます。(pop3セッションとかでクライアント認証で使われるそうです)
これってIPv6では必須なんでしょうか。
・udp 546は、dhcpv6関係のようですね。
Protocol / Name: dhcpv6-client
Port Description: DHCPv6 Client
(参考)http://www.auditmypc.com/udp-port-546.asp
ipv6 lan2 secure filter in 1010 1011 1012 2000
ipv6 filter 1010 pass * * icmp6 * *
ipv6 filter 1011 pass * * tcp * ident
ipv6 filter 1012 pass * * udp * 546
(参考)http://jp.yamaha.com/products/network/solution/flets-next-ipv6_ipoe-rtx1200/
ステートフルな動的フィルタが心強いかなと思いました。
何も細かいこと考えなくても、アプリレベルで通信を制御設定できますものね。
しかしステートレスなudp通信に関しては、動的フィルタってタイマー動作してくれるのでしょうか。
(確か、ipv4ではそうなっていますね。すぐに閉じるようです。)
しかし、動的フィルタがなければ、設定は非常に面倒くさいことになりますね。
こういうYAMAHA公式見解がお手本になります。
ありがとうございます。
OUT方向の動的フィルタによるPASSは理解しました。
IN方向の静的フィルタの、tcp/ident と、udp/546ってなんでしょう。
(icmpは、ipv6ではルータ間の各種調整のために必須なんですね。古い本で一度勉強したのですが、詳細はすっかり忘れました。)
IPv4で運用しているRTX1200にはこのident と、546は設定していません。
・identは古い技術でもはや使われていないといいます。(pop3セッションとかでクライアント認証で使われるそうです)
これってIPv6では必須なんでしょうか。
・udp 546は、dhcpv6関係のようですね。
Protocol / Name: dhcpv6-client
Port Description: DHCPv6 Client
(参考)http://www.auditmypc.com/udp-port-546.asp
ipv6 lan2 secure filter in 1010 1011 1012 2000
ipv6 filter 1010 pass * * icmp6 * *
ipv6 filter 1011 pass * * tcp * ident
ipv6 filter 1012 pass * * udp * 546
(参考)http://jp.yamaha.com/products/network/solution/flets-next-ipv6_ipoe-rtx1200/
ステートフルな動的フィルタが心強いかなと思いました。
何も細かいこと考えなくても、アプリレベルで通信を制御設定できますものね。
しかしステートレスなudp通信に関しては、動的フィルタってタイマー動作してくれるのでしょうか。
(確か、ipv4ではそうなっていますね。すぐに閉じるようです。)
しかし、動的フィルタがなければ、設定は非常に面倒くさいことになりますね。
>>245>>251
RT57i〜NVR500のGUIにある「IPv6の設定」で「セキュリティレベル2:フィルタ有り」を選択すると、
その設定例とほぼ同じフィルタが適用されるよ。
IPv4と同様に殆どの場合identは無くても問題ないと思う。
out方向については、Vista以降のWindowsで追加された部分を含めて
IPv4フィルタと同じように制限するほうが良いかもね。
IPv6実践講座〜トラブルシューティング、セキュリティ、アプリ構築まで〜
https://www.nic.ad.jp/ja/materials/iw/2012/proceedings/t7/
RT57i〜NVR500のGUIにある「IPv6の設定」で「セキュリティレベル2:フィルタ有り」を選択すると、
その設定例とほぼ同じフィルタが適用されるよ。
IPv4と同様に殆どの場合identは無くても問題ないと思う。
out方向については、Vista以降のWindowsで追加された部分を含めて
IPv4フィルタと同じように制限するほうが良いかもね。
IPv6実践講座〜トラブルシューティング、セキュリティ、アプリ構築まで〜
https://www.nic.ad.jp/ja/materials/iw/2012/proceedings/t7/
>>252
ありがとうございます
RT57iとかでも、そのような設定が成されるわけですね。
一度やってみます。参考になるかもしれないですね。
identについても不要の方向で行きます。
参考ソースは忘れましたが調べてみると、identの入力を許可してしまうと、メール受信などで通信の遅延が生じるということでした。
入力しなければREJECTされてその旨がメールサーバーに渡され、次のステップに移行しますが、
入力を許可していると、REJECTされないということなので、いつまでたってもメールサーバーが待機状態になるらしいです。
(メールクライアントがidentに対応していない場合↑)
IPv6になると、NATがないので(IPv4ではNATが機能してサーバーからのident入力はなされなかったはず)、identの入力許可設定の影響は目立ってくるかもしれないですね。
OUT方向については、NBTなど不要な通信はしないようにしなければ駄目ですよね。
これも色々と調べる必要があるかもしれないですね。
このOUT方向のREJECT設定が一番大変かもしれない。
資料ありがとうございます。
確認と整理と理解のために読んでみたいです。
ありがとうございます
RT57iとかでも、そのような設定が成されるわけですね。
一度やってみます。参考になるかもしれないですね。
identについても不要の方向で行きます。
参考ソースは忘れましたが調べてみると、identの入力を許可してしまうと、メール受信などで通信の遅延が生じるということでした。
入力しなければREJECTされてその旨がメールサーバーに渡され、次のステップに移行しますが、
入力を許可していると、REJECTされないということなので、いつまでたってもメールサーバーが待機状態になるらしいです。
(メールクライアントがidentに対応していない場合↑)
IPv6になると、NATがないので(IPv4ではNATが機能してサーバーからのident入力はなされなかったはず)、identの入力許可設定の影響は目立ってくるかもしれないですね。
OUT方向については、NBTなど不要な通信はしないようにしなければ駄目ですよね。
これも色々と調べる必要があるかもしれないですね。
このOUT方向のREJECT設定が一番大変かもしれない。
資料ありがとうございます。
確認と整理と理解のために読んでみたいです。