2019-09-11

RTX830 の設定について

9月3日に届いてから1週間を過ぎていろいろと設定周りで慣れてきました。


わかりにくかったフィルター関連もわかってきました。


config ファイルを保存すると、元の設定に RTX830 が勝手に追加設定するコマンドがあります。

  ip lan2 secure filter out 101098 101099 dynamic 101098
  ip filter 101098 reject-nolog * * established
  ip filter 101099 pass * * * * *

    これは、フィルターで定義の2行は "established" が立っている
    (ack が付いている)パケットすなわち tcp syn 以外は拒否です。
    つまり tcp syn は通す、です(ちょっとヒネリが入ってますね)。

これはフィルター定義で上の2行を下の1行の代わりに設定したものです。

  ip filter 101098 pass * * tcpflag=0x0002/0x0017 * * 

    これは、tcp syn のみを通す、ですから上の2行と等価です。


この「勝手に追加設定されるフィルター定義」は tcpflag 対応されていないリビジョンでも有効なように、等価な2行を追加しているようです。

外からの tcp syn パケットは拒否しつつ出ていくときに tcp syn を通す、ということです。

config テキストから削除しても復活してきます。








また、GUI でのインターネット接続設定時に http(80)は dynamic フィルター(使うときにポートを開き、使い終わると閉じる)を設定されますが、https(443)は dynamic フィルター設定されません。


こういうところは、YAMAHA ルーターは結構いい加減です。



「いい加減」でもセキュリティ面では、ping にデフォルトで応答してしまう点以外は問題なく、この点は「いい加減」ではないのですが。



GUI 設定の場合、設定されている内容を吟味して「いい加減」を整理し、コメントも入れておくと、わかり易くなりますね。





syslog ですが、"syslog notice on" コマンドで出力されますが、そのままでは [INSPECT] メッセージが大量に出力され、[Reject] ログがこの [INSPECT] ログに埋もれてしまいます。


これは、dynamic フィルター設定されたポートを使用後に閉じる際に出されるメッセージで、dynamic フィルター設定に "syslog=off" を付加しておくと出力されません。

  例: ip filter dynamic 200082 * * www syslog=off

例のように、すべての dynamic フィルター定義に付加します(意図的に出したい場合は別ですが)。

"syslog=on" がデフォルトなので明示して "off" しなければ延々と出ます。


syslog は GUI 画面の「ダッシュボード」➡「ガジェット」➡「SYSLOG」をチェックするとガジェットが表示されてそこに syslog がリアルタイムに吐き出されます。



syslog を保存するには別途 syslog サーバーを立てて、そこに転送するようにします。








GUI 画面の「管理」➡「保守」➡「コマンドの実行」で編集した config ファイルの中身をコピペして実行すると、流した config が反映されますが、ブート条件に合致しなければブートされませんから便利です。


また、エラーの有無がわかリますので、必要なら訂正して再流しすれば済みます。


下図は編集済み config をコピペして流した(実行した)ときの「実行結果」と「ログ」の一部分です。

"administrator password * " は「コマンドの実行」では禁止されているコマンドなので、「禁止マーク」 が出ていますが、config 反映には差し支えはありません。


また、"ipv6 lan1 address ra-prefix@lan2::1/64" がエラーになっていますが、これはすでに設定してある内容と同じなので「エラー」にした、と「実行ログ」にありますから、無視して構いません。


その他のコマンドがエラーでなければいいのです。










GUI 設定画面から、「管理」>「保守」>「CONFIGファイルの管理」で「CONFIGファイルのエクスポート」をすると設定を保存でき、「CONFIGファイルのインポート」で設定を復元できます。



注意したいのは、このときに「ユーザーパスワード」と「管理者パスワード」が「*(アスタリスク1文字)」になっていますのでインポートした後でログインのときにパスワードは「*」を入力してログインします。

その後で、改めて「管理者パスワード」と「ユーザーパスワード」を設定し直します。




インポート後に、設定したはずのパスワードがはねられて、一瞬慌てました。

初期化を考えたほどですが、インポートしたファイルのパスワードコマンドの内容が「*」だったのでこれを入力してログインできました。



エクスポートした CONFIGファイルの「*」はパスワードの「伏せ字」の意味だと思っていましたが、「伏せ字」ではなく「*」で置き換えられていたのでした。





暗号化していませんでしたからこれで OK でしたが、気をつけないといけませんね。










時刻:

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)