読者です 読者をやめる 読者になる 読者になる

NW屋的日常徒然日記

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

らじる★らじる聞き逃し対応とNHKのradiko参加など

 こんばんは。先日、iOSらじる★らじるアプリの更新があり、「聞き逃しサービスにも対応」と記されていました。(Androidも同様に対応していると思われます。本人未確認)アプリを立ち上げてみると、確かに対応してます。radikoで言うところのタイムフリー機能ですね。同様に1週間前までさかのぼれるようです。

 そして、ほぼ同時期に「NHKがradikoに試験参加」というニュースがありました。こちらは毎日新聞です。ここでは詳しいことは分かりませんが、近いうちに試験参加することになるのでしょう。

 このニュースを知って、「まさか民放未参加局が解消される前にNHKが試験参加するとは…」と思いました。未参加局の経済事情ということもあるのでしょうが、NHKのフットワークの軽さに正直驚きました。しばらくradiko周りからは目が離せそうにないです。

 

タグVLAN設定したWLX202とWindowsPCの直結は可能かどうかを試してみます

 こんばんば。一昨日の記事について再考してみました。どうも上手くまとまりませんでしたので、もう1日考えてみることにしました。

 ここまでの流れを振り返ってみると…

 で、少し整理してみました。「WindowsマシンでタグVLANは認識する」ということは正しいです。「タグVLANでWindowsマシンとスイッチ/ルータの間の疎通は可能」も正しいです。「Windowsに限らず、LinuxでもMacでも同様である」も正しいです。

(実際にMacをVLAN対応にして接続した経験がありますので、上記記述は正しいです。)

 本当に無線APとPCは直結出来るのか?

 ここで問題にしたかったのは、「タグVLANを認識する無線APとWindowsマシンを(スイッチやルータを経由せずに)直結した場合、接続出来なかった」ということでした。

 このあたりに関して、ちらっと呟いたら「直結でも接続出来ますよ」という御指摘いただきました。

karasuma-kitaoji.hatenablog.com

 今までの経験では、スイッチ/ルータを介してタグVLANを理解出来るマシン&NIC(このときはMacを使いました)とタグVLANを理解出来る無線APとを接続したことはあります。

 ただ、直結は経験ありません。この記事を書く際に試した時点では、使っているPCがIntelではないので、タグVLANを解釈出来ないものと思い込んでいました。ちなみにRealtekなのですが、ダメモトでNICのプロパティを見ると、「詳細設定」で「VLAN有効」になっているではないですかっ!

 そもそもNICがタグVLAN非対応だと思い込んでいたところに敗因があるのかもしれないと思い、もう少し調べた上で再度試してみることにします。

 実験に際して、WLX202がコンソールが使えないという問題があるため、PC側で出来ることしか試せないという制約はあります。WLX202の独自仕様というようなハードルがあるかもしれませんが、試せたら結果を書きますので、少々お待ち下さい。

 

ワンセグ受信料裁判・水戸地裁で「受信契約は有効」との判断

 こんばんは。昨日の続きに関して、もう少し調べてみたいことがありますので、週末送りにさせて下さい。<(_ _)>

 今日は広義のITネタということになるかもしれません。NHKワンセグ受信料関係裁判です。水戸地裁で「ワンセグ所持でも受信料は必要」という判決が出たというニュースです。読売新聞の記事からです。

www.yomiuri.co.jp

 ワンセグ受信料支払い関係では、先日さいたま地裁で受信契約が無効という判決が出てました。都議選で「NHKをぶっ壊す!」をキャッチフレーズに出馬していた方がコメントされていた記憶があります。今回はさいたま地裁での判決と正反対の結果でした。

 このあたりを取り上げているのが産経新聞日本経済新聞です。以下の記事です。

www.sankei.com

www.nikkei.com

 両者の判決が分かれたのは「設置」にあたるのかどうなのかという点のようです。今回の判決で「携帯」も「設置」の概念に包含されるという風に判断されたようです。

 しかし、その解釈はかなり強引な印象を受けました。放送法が成立した当時、テレビは茶の間にでかでかと鎮座しているものでした。当時はテレビがポケットサイズで電池駆動するなんて、到底想像すらできませんでした。それに、テレビ自体が他の機器の付属機能になっているケースも少なくありません。代表的なのはスマホガラケーです。テレビを見ようとして購入したわけではなく、たまたまワンセグ機能が付いてきたというのが正しいようです。

 そして、ワンセグもフルセグも同一受信料だと不公平感は増大します。フルセグの1/12の情報量しか受け取ってないのに、料金は一緒などいうことがまかり通るのなら、NHKが業務上使う電気・ガス・水道・電話などの公共料金は通常の12倍請求されても、文句を言わずに払うんだろうね?という話になるんじゃないでしょうか。

 さて、二審はどうなるんでしょうか。個人的にはラジオ受信料が無料化された経緯と同じように、ワンセグも無料化の流れになって行くのかなと思っています。

 「ワンセグ受信料の前に地上波もBSもスクランブル化しろよ」と思う昨今です。

RTX1210とFWX120の動的フィルタと静的フィルタをようやく克服する(1)

 こんばんは。なかなか理解しづらかったYAMAHA RTX1210やFWX120などのパケットフィルタリングについて、ようやく克服出来ました。ただ、シンプルに書けたかどうかはもう少し吟味しないといけないと思われますので、「なんとか間違いなく動いた」というレベルかもしれません。

 今までは、複数のVLAN間通信を相互に禁止するというフィルタは書きました。これは静的フィルタだけで実現出来ますので、さほど頭を悩ますことはありませんでした。

 フィルタリングルールを書いて、それぞれのVLANに対してin側に適用すれば相互に通信を禁止することが出来ますので、ルールとしてはそんなに難しい話ではなかったです。(その前に、YAMAHAルータやFWにおけるinとoutの定義を理解するのにちょっと時間がかかりました。I/F側にパケットが入ってくる方向をin(受信)、逆にI/F側からパケットが出て行く方向をout(送信)というのを理解するのに若干苦労しました。)

 ここでの事例ですが、VLAN10とVLAN20があるとします。VLAN10--->VLAN20へは全てのtcpudp通信を通すけども、逆は一切拒否するという設定だとします。

 ここで頭を悩ませたのは、「動的フィルタだけでは一切フィルタリングをしてくれない」でした。「VLAN10--->VLAN20へ通す動的フィルタだけではダメで、静的フィルタも書いてやらないといけない」という説明に、「???」となりました。

 この場合、まずVLAN20--->VLAN10への通信を全て拒否する静的フィルタを書いてやります。そして、VLAN10--->VLAN20へのtcp及びudpを全て通す静的フィルタも書いておきます。一見不要なようにも思えますが、ステートフルインスペクション通信を行わせるためのトリガとなる最初のパケットを通すために、静的フィルタが必要なのだそうです。この状態では、前者の静的フィルタでリプライパケットは拒否されるので、通信は成立しません。動的フィルタと前者の静的フィルタだけでは、最初のパケットが通りません。

 そこで、動的フィルタの出番になります。ここでVLAN10--->VLAN20へのtcp及びudpを全て通す動的フィルタを書きます。動的フィルタは静的フィルタより優先されますので、リプライパケットは静的フィルタを上書きした動的フィルタによって通過してくれます。

 ここで問題になってくるのは、動的フィルタが対応しているのはtcpudpパケットだけです。このままではicmpパケットが通りません。ということは、pingが打てません。さすがにこれは困ります。このへんについては次回お送りします。少々お待ち下さい。

 

一部訂正及び修正があります。<(_ _)>

 こんばんは。昨日の記事「RTX1210+SWX2200+FWX120+WLX202で無線LAN環境設定(4) 」について修正があります。本記事について、当該部分を取り急ぎ訂正いたしました。そして、御指摘いただいたとこなつ@京都(@uhehehe366)さんにはこの場を借りて、改めてお礼申し上げます。<(_ _)>

 おっしゃるように、「通るか通らないかで」で言うと、「通る」が正しいです。実際に作業をしている現場ではどうしようもなかったので、ああいった表現になってしまいました。それと、話がつながらなくなるということもあり、「通らない」という表現をしてしまいました。

 WindowsLinuxでタグVLANの疎通は可能であるという話につきましては、明日改めて書いてみたいと思います。今晩は遅いですので、このへんで失礼いたします。

(つづく)

RTX1210+SWX2200+FWX120+WLX202で無線LAN環境設定(4)

 こんばんは。無事にWLX202のweb管理画面にアクセスすることが出来るようになりました。事務所用とゲスト用に別々のSSIDを出すこともあり、各WLX202のWeb管理画面にアクセスさせないように設定していたんですね。各SSID毎にVLANを結び付けて、それとは別にWLX202用管理用VLANを設定してました。基本的に各VLAN間通信は禁止していました。これがまた曲者で、アクセス制限を間違うと身動き取れなくなってしまうんですよね。しかも、タグVLANでWLX202を動かしているものだから、PCと直結しても接続出来るわけもなく…。(訂正:WindowsでもタグVLANは通ります。@uhehehe366さんから御指摘いただきました。おっしゃる通りです。御指摘いただいたように、WindowsでもLinuxでも通ります。Macでも通ります。ただ、現場では通すことが出来る環境になかったということを言いたくて、誤解を招く表現になりました。この場を借りてお詫びをすると共に、御指摘いただいたとこなつ@京都さんにはこの場を借りてお礼申し上げます。

 特定のVLANに所属するIPアドレスからのみアクセス許可するように設定しておきましたので、このへんはクリア出来ました。

 簡易RADIUSサーバ機能を使って、個人毎にIDとパスワードで認証するようにしました。IEEE802.1X認証ですね。事前共有鍵は使いたくないですからねぇ。家庭用ならともかく、業務用では事前共有鍵の仕様は回避したいですよね。セキュリティ面を退職者が出るごとに事前共有鍵を更新しないといけませんね。コストを抑えてIEEE802.1X非対応の無線APを導入してしまうと、かなり面倒なことになることは容易に想像がつきます。

 そして、ゲスト用無線LANからはLAN内リソースには一切アクセスさせないようにしました。VLAN間通信の禁止で内部DMZと外部DMZに対してもアクセスさせないようにしました。ゲスト用アカウントも臨時発行出来るので、利用終了後即刻削除すれば不用意に利用されることもありません。

 とりあえず構築してみましたが、内部Webサーバ等での認証が必要になってくると、統一アカウントを考える必要が出てきます。となると、RADIUSLDAPの連携を図る必要も出てきます。Raspberry Piで構築してみようかと思ってはいるのですが、余裕が出来てからの話になりそうです…。

無線LANタダ乗りに関する総務省の見解には無理がある

 こんばんは。先日、総務省無線LANタダ乗りに関して「電波法に引っかかってくる」という見解を出しました。世間の反応としては、「無理筋なんじゃないの?」という印象でした。(私もそのクチでしたが)

 「総務省が強引に持論を展開しているな」と個人的に思っていたのですが、ちょうどいいタイミングで日経 ITproが取り上げてました。以下の記事です。

itpro.nikkeibp.co.jp

 総務省的には電波法の解釈で違法としたかったのでしょう。でも、やはり、そこにはかなりの無理があったのだという印象があります。この場合の事前共有鍵であるWEPキーは識別符号とは言いづらいでしょう。(IEEE802.1X認証であれば、また事情も変わってきたかもしれませんが、家庭用無線ルータではさすがにないと思います。(^^;)

 ここは時代の変化に合わせて、電波法の改正に取り組む必要があるのだろうと思います。電波法が制定された当時は現在のようなインターネットの存在が想定されていなかったと思います。電波を傍受することはあっても、他人の発する電波に便乗して通信するというスタイル自体想定されてなかったのですから、無理筋でしょう。

 現行の電波法では立件出来ないので、不正アクセス禁止法で立件ということにならざるを得ないのでしょう。でも、「タダ乗りは無罪」というのは腑に落ちないという風に考えているだろうとうのは理解できます。でも、これは法律上の盲点でもありますから、そこを解消して行くしかないのだろうと思う次第です。

 私も何か割り切れないものはありますが…。