2019年9月10日火曜日

RTX830 の設定について

9月3日に届いてから1週間を過ぎていろいろと設定周りで慣れてきました。





わかりにくかったフィルター関連もわかってきました。





config ファイルを保存すると、元の設定に RTX830 が勝手に追加設定するコマンドがあります。



  ip lan2 secure filter out 101098 101099 dynamic 101098

  ip filter 101098 reject-nolog * * established

  ip filter 101099 pass * * * * *



    これは、フィルターで定義の2行は "established" が立っている

    (ack が付いている)パケットすなわち tcp syn 以外は拒否です。

    つまり tcp syn は通す、です(ちょっとヒネリが入ってますね)。



これはフィルター定義で上の2行を下の1行の代わりに設定したものです。



  ip filter 101098 pass * * tcpflag=0x0002/0x0017 * * 



    これは、tcp syn のみを通す、ですから上の2行と等価です。





この「勝手に追加設定されるフィルター定義」は tcpflag 対応されていないリビジョンでも有効なように、等価な2行を追加しているようです。



外からの tcp syn パケットは拒否しつつ出ていくときに tcp syn を通す、ということです。



config テキストから削除しても復活してきます。

















また、GUI でのインターネット接続設定時に http(80)は dynamic フィルター(使うときにポートを開き、使い終わると閉じる)を設定されますが、https(443)は dynamic フィルター設定されません。





こういうところは、YAMAHA ルーターは結構いい加減です。







「いい加減」でもセキュリティ面では、ping にデフォルトで応答してしまう点以外は問題なく、この点は「いい加減」ではないのですが。







GUI 設定の場合、設定されている内容を吟味して「いい加減」を整理し、コメントも入れておくと、わかり易くなりますね。











syslog ですが、"syslog notice on" コマンドで出力されますが、そのままでは [INSPECT] メッセージが大量に出力され、[Reject] ログがこの [INSPECT] ログに埋もれてしまいます。





これは、dynamic フィルター設定されたポートを使用後に閉じる際に出されるメッセージで、dynamic フィルター設定に "syslog=off" を付加しておくと出力されません。



  例: ip filter dynamic 200082 * * www syslog=off



例のように、すべての dynamic フィルター定義に付加します(意図的に出したい場合は別ですが)。



"syslog=on" がデフォルトなので明示して "off" しなければ延々と出ます。





syslog は GUI 画面の「ダッシュボード」➡「ガジェット」➡「SYSLOG」をチェックするとガジェットが表示されてそこに syslog がリアルタイムに吐き出されます。







syslog を保存するには別途 syslog サーバーを立てて、そこに転送するようにします。

















GUI 画面の「管理」➡「保守」➡「コマンドの実行」で編集した config ファイルの中身をコピペして実行すると、流した config が反映されますが、ブート条件に合致しなければブートされませんから便利です。





また、エラーの有無がわかリますので、必要なら訂正して再流しすれば済みます。





下図は編集済み config をコピペして流した(実行した)ときの「実行結果」と「ログ」の一部分です。



"administrator password * " は「コマンドの実行」では禁止されているコマンドなので、「禁止マーク」 が出ていますが、config 反映には差し支えはありません。





また、"ipv6 lan1 address ra-prefix@lan2::1/64" がエラーになっていますが、これはすでに設定してある内容と同じなので「エラー」にした、と「実行ログ」にありますから、無視して構いません。





その他のコマンドがエラーでなければいいのです。























GUI 設定画面から、「管理」>「保守」>「CONFIGファイルの管理」で「CONFIGファイルのエクスポート」をすると設定を保存でき、「CONFIGファイルのインポート」で設定を復元できます。







注意したいのは、このときに「ユーザーパスワード」と「管理者パスワード」が「*(アスタリスク1文字)」になっていますのでインポートした後でログインのときにパスワードは「*」を入力してログインします。



その後で、改めて「管理者パスワード」と「ユーザーパスワード」を設定し直します。









インポート後に、設定したはずのパスワードがはねられて、一瞬慌てました。



初期化を考えたほどですが、インポートしたファイルのパスワードコマンドの内容が「*」だったのでこれを入力してログインできました。







エクスポートした CONFIGファイルの「*」はパスワードの「伏せ字」の意味だと思っていましたが、「伏せ字」ではなく「*」で置き換えられていたのでした。











暗号化していませんでしたからこれで OK でしたが、気をつけないといけませんね。




















時刻:

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)