RTX1210でのタグVLANとLAN分割の共存(補足)
こんばんは。一昨日に「RTX1210でのタグVLANとLAN分割の共存」という記事を書きましたが、今回一部補足します。
で、一昨日の記事がこちらです。
karasuma-kitaoji.hatenablog.com
実は、LAN3ポートでタグVLANを設定していて、LAN1ポートでLAN分割を設定しようとしたら、「重複設定です」みたいなメッセージを吐かれてしまい、そこで前に進まなくなってしまいました。(^^;
「同一インターフェースではタグVLANとLAN分割は共存出来ないというのは確認している。だから、LAN3とLAN1の別インターフェースにしている。問題なく出来るはずだが…。」と思案していました。
そこで、何が悪いのかをいろいろ調べてみました。
switch control use lan1 on terminal=on
の設定が悪さをしていました。L2MSというYAMAHA独自プロトコルの影響でした。そう言えば、SWX2200を接続してタグVLANを使えるようにGUIで設定しました。なので気づきにくかったのでした。(^^;
このプロトコルはYAMAHAのL2スイッチをルータやFWでコントロールする際に使われるものです。詳しくはこちらを御参照下さい。
解決策としては、switch control use lan1 on terminal=off にすることで、LAN1ポートのLAN分割設定は可能になります。
(2017/04/13訂正:これは間違いでした。正しくは、switch control use lan1 off です。terminalがoffになっていても、スイッチ制御機能がonになっているわけですから、エラーを吐くのは当然ですね。たいへん失礼いたしました。<(_ _)> 訂正した詳細記事は後日アップしますので、少々お待ち下さい。春期情報処理技術者試験もありますので、そちらが終わってからになるかと思います。<(_ _)>)
まだ実際に試せていませんが、確認出来次第書いてみたいと思います。
RadiChubuが始まったそうで
こんばんは。今回はラジオネタ寄りのITネタになります。先日、名古屋のCBCラジオが「RadiChubu」というサービスを始めるとのプレスリリースがありました。こちらは朝日新聞の記事からです。
「ラジオ番組のテキスト化」とありましたので、「まさか、各番組の一言一句を忠実に書き起こしてアップするのか?」と思いましたが、そういうことではなさそうでした。
番組で取り上げられたネタを文字起こしして、検索で引っかかりやすいようにする。そして、radikoタイムフリーへの誘導なのかなと思いました。たいへんいいアイデアだと思います。音声ではなかなか検索しづらいですし、こういう形で検索することでヒットして元の音源をたどることで、新しいリスナーの掘り起こしにつながるんだろうと考えられます。
ちなみに、「RadiChubu」のサイトはこちらです。
ラジオはオールドメディアだとか、斜陽だとかいろいろ言われてきましたが、radikoの登場や、今回のRadiChubuのような取り組みで新たな方向性を見出すことが出来たのではないかと個人的には今後に期待しています。
RTX1210でのタグVLANとLAN分割の共存
こんばんは。引き続きYAMAHA RTX1210やFWX120関係について少々書いてみます。今回はVLAN関係について書きます。YAMAHA独自の設定という部分もありますが、そのあたりも含めて書き進めて行きます。
LAN分割の設定方法
まず、LAN分割ですが、こちらはLAN1の複数ポートを別々のVLANに分割する用途で使います。タグVLANはLAN1に限らず、LAN2やLAN3でも設定出来ます。こちらは主にSWX2200と組み合わせて使う際に効果を発揮します。
他の違いですが、前者はタグを解釈出来ない端末(正確にはLANカード)を接続できますが、後者はタグを解釈出来る機器でないと使えません。
LAN1を192.168.1.0/24と192.168.2.0/24に分割するとします。各インターフェースのIPアドレスを192.168.1.1/24と192.168.2.1/24であるとします。
そして、LAN1のポートを1~4をVLAN1、5~8をVLAN2とします。
すると、以下のような設定になります。
lan type lan1 port-based-option=divide-network
vlan port mapping lan1.1 vlan1
vlan port mapping lan1.2 vlan1
vlan port mapping lan1.3 vlan1
vlan port mapping lan1.4 vlan1
vlan port mapping lan1.5 vlan2
vlan port mapping lan1.6 vlan2
vlan port mapping lan1.7 vlan2
vlan port mapping lan1.8 vlan2
ip vlan1 address 192.168.1.1/24
ip vlan2 address 192.168.2.1/24
これでLAN1 1~4ポートが192.168.1.0/24に、LAN1 5~8が192.168.2.0/24に設定されます。ただ、この状態ではルーティングが有効になっていますので、両者間の通信を禁止したい場合は、フィルタ設定が必要です。
タグVLANの設定方法
そして、タグVLANですが、以下のようになります。ここでは LAN3をタグVLANポートに指定します。LAN3のインターフェイスを192.168.0.1、VLAN103のインターフェイスを192.168.3.1/24、VLAN104のインターフェースを192.168.4.1/24、VLAN105のインターフェースを192.168.5.1/24であるとします。
ip lan3 address 192.168.0.1/24
vlan lan3/1 802.1q vid=103 name=VLAN103
ip lan3/1 address 192.168.3.1/24
vlan lan3/2 802.1q vid=104 name=VLAN104
ip lan3/2 address 192.168.4.1/24
vlan lan3/3 802.1q vid=105 name=VLAN105
ip lan3/3 address 192.168.5.1/24
上記のような形で設定すればOKです。タグVLANの長所はRTX1210の場合は最大32個まで設定可能です。LAN分割では最大8個までしか出来ませんね。(RTX1210の場合)SWX2200を接続する前提であれば拡張性は高くなります。
参考:VLAN
それぞれの長所と短所を理解した上で、上手に組み合わせると自由度の高いネットワークの構成が出来ます。
【小ネタ】ラズパイで電波時計校正に苦戦中
こんばんは。今日は短めのネタで失礼します。以前取り上げました「ラズパイで電波時計校正」ネタです。過去記事はこちらです。
karasuma-kitaoji.hatenablog.com
karasuma-kitaoji.hatenablog.com
ここで必要なプログラムをインストールし、電子回路を組んでみました。ここで指定されているトランジスタの型番がなかったので、たまたまパーツ屋にあった2SC1815で代用してみました。抵抗とLEDはITproに沿った形で合わせてみました。
回路図通りに組んでみましたが、ラズパイの電源ランプもアクセスランプも消灯してしまうという事態に見舞われました。orz
ラズパイへの配線を抜けば元通りに動いてはくれるのですが、どこが悪いのかをこれから検討してみようかと思います。
RTX1210でのフィルタリングについて検討中
こんばんは。一昨日はRTX1210等における静的IPマスカレードについて書きました。これに直接関係する話題は後日書く予定にしています。
今回はRTX1210等のYAMAHA製ルータorファイアウォールでのフィルタリングについて少し検討してみます。備忘録的になってしまうことは御容赦下さい。<(_ _)>
今回やらせたいこととしては、以下の通りです。
- 部門毎にVLANを分けたい
- 有線と無線も分けたい
- インターネットにはどのVLANからもアクセス出来る
- 部門VLAN間の通信は拒否
- 各部門VLANからDMZへのアクセスはOK
あたりを想定しています。そこで、YAMAHAルータ等の設定例ページを探してみると、以下の事例がヒットしました。
これを基に検討します。ここではLAN分割機能を用いていましが、タグVLAN機能を使っても同様の機能は実現出来ます。
この設定例にあるように、LAN分割orタグVLANでVLANを定義します。そして、ISPへの経路設定(デフォルトルートがISPへ向かうように)とNATの設定を行います。
ここからが今回の本題になります。「どのようなフィルタリングを行うか?」に基づいて、個々のフィルタリングルールを作成します。たとえば、「192.168.100.0/24をはじめとするVLAN間通信は一切認めない」というようなルールを作るとします。この場合、以下のようになります。
ip filter 1020 reject 192.168.100.0/24 *
ip filter 1021 reject 192.168.101.0/24 *
ip filter 1022 reject 192.168.102.0/24 *
ip filter 1023 reject 192.168.103.0/24 *
ip filter 1024 reject 192.168.104.0/24 *
ip filter 1025 reject 192.168.105.0/24 *
ip filter 1026 reject 192.168.106.0/24 *
ip filter 1027 reject 192.168.107.0/24 *
ip filter 1040 reject * 192.168.100.0/24
ip filter 1041 reject * 192.168.101.0/24
ip filter 1042 reject * 192.168.102.0/24
ip filter 1043 reject * 192.168.103.0/24
ip filter 1044 reject * 192.168.104.0/24
ip filter 1045 reject * 192.168.105.0/24
ip filter 1046 reject * 192.168.106.0/24
ip filter 1047 reject * 192.168.107.0/24
ip filter 2000 reject * *
ip filter 3000 pass * *
上記4種類のルールを作成します。たとえば192.168.100.0/24 --> 192.168.101.0/24 の方向と、192.168.101.0/24 --> 192.168.100.0/24 の両方向について考えてやります。
ここで重要なのは、inとoutについてです。inというとLAN、outというとWANと考えがちですが、YAMAHAの機器の場合は、「in:インターフェースに入ってくる方向」「out:インターフェースから出て行く方向」であるということです。上記の事例ではVLAN1のインターフェースは192.168.100.1です。よって、「192.168.100.1に入ってくる場合はin」「192.168.100.1から出て行く場合はout」になります。
この設定例を基にして以下の設定について説明します。
ip vlan1 secure filter in 1041 1042 1043 1044 1045 1046 1047 3000
ip vlan1 secure filter out 1021 1022 1023 1024 1025 1026 1027 3000
VLAN1の場合を例に取ります。「192.168.100.0/24からインターネットには出られるが、192.168.101.0/24をはじめとする他のVLANには接続出来ない」という前提の「インターネットに出られる」という部分はここでは除きます。(後述します)
inは「192.168.100.1に向けて入ってくるパケット」と考えます。192.168.101.0/24〜192.168.107.0/24が宛先となっているパケットを破棄する(水際で拒否する)必要があります。そのために、送信元が192.168.100.0/24となっていて、宛先が192.168.101.0/24〜192.168.107.0/24となっているパケットを破棄します。送信元アドレスを*でなく、個別のVLANを指定してもいいのですが、ルールセットが増えるということで流用可能な*にしているということになります。(ちょっとここが考えにくかったです。(^^;;)
outは「192.168.100.1から出て行くパケット」になります。今度は逆に考えます。「送信元が192.168.100.0/24以外のパケットは破棄する」ということになります。たとえば、送信元アドレスが192.168.107.100から192.168.100.100へのパケットが192.168.100.1に届いたとします。192.168.107.0/24と192.168.100.0/24の間は通信不可設定です。ですので、このパケットはout側から出してはいけません。なので、この場合は1027のルールを適用する必要があります。
このへんが混乱してしまう点ですね。ワイルドカードを上手に使うことでシンプルなルールセットになることも頭に置いておきたいところです。
途中で触れましたが、インターネット側へのアクセス制御は以下のようになります。(各プロトコルとICMPに関するフィルタリングはここでは省略します)
ip pp secure filter in 1020 1021 1022 1023 1024 1025 1026 1027 2000
ip pp secure filter out 3000
生まれて初めて架空請求メールを受信しました
こんばんは。今回は架空請求メールネタです。世間では未だにアダルトサイト閲覧に関する架空請求メールが届くという事例があるようですね。そう言えば、昨年ブログに書きました福井県池田町議会事務局長がやらかした事件がありましたね。
取り上げた際の記事はこちらです。
karasuma-kitaoji.hatenablog.com
職場のPCでアダルトサイトを閲覧していて、ウイルス感染してしまい、表示された電話番号に電話して情報漏洩をやらかしたというお話でしたね。
架空請求メールが届いても焦らず慌てずに
エロい欲望に打ち勝てない人たちのうちの一部がこうしてやられてしまうのでしょう。だからこそ、正しい知識を身に着けて冷静に対処する必要があります。
アダルトサイト架空請求メールは当該サイトを見た見ないに関係なくやって来るようです。私が普段使っているガラケーのアドレス宛に昨朝、覚えのないメールがAmazonを騙ってやってきました。
ガラケーなので、Amazonのアドレスがどのように騙られているか、ヘッダで追うことが出来ませんでした。明らかに架空請求メールだというのが分かったので、速攻で削除してしまいました。御丁寧に電話番号まで書いてありました。これが信憑性を持たせようということなのか、フリーダイヤルでした。(うっかりかけさせようと狙っていたんでしょうか)
ランダムにメール送信しているのがバレバレです
そもそも、ガラケーでアダルトサイトにアクセスすることは現状では非現実的ですよね。軒並みガラケー用サイトを閉鎖している現状があるわけですから。向こうも手当たり次第にメールを送信しているのでしょうね。相手先がスマホなのかガラケーなのか確認せずに投げているのが丸出しですよね。
PCでの受信と違って、スマホやガラケーで受信すると、ヘッダの確認がしづらいので、誤認する余地があります。身に覚えがなければ当然無視でOKですし、仮に見たとしても、払う前に消費生活センターに相談した方がいいです。
余談になりますが、3/28(火)の「北野誠のズバリ」でも架空請求メールネタを取り上げていました。
昨日の「北野誠のズバリ!」で、架空請求の話題について取り上げてました。/ 北野誠のズバリ | CBCラジオ | 2017/03/28/火 13:00-16:00 https://t.co/DGsS5mTN0Z #radiko
— 不覚亭ヨウ素 (@amagasaki820) 2017年3月29日
本当に気を付けましょうね。専門用語並べ立てて追及しようとか考えるよりも、無視が一番いいようです。(^^;
DNATと静的IPマスカレード
こんばんは。今回はDNATと静的IPマスカレードについて少し書いてみます。ここで言うDNATとは、Destination NATのことを指します。
DNATについて調べてみました。e-words.jpの記事です。
ルータなどで外部からグローバルIPアドレスでアクセスしてきたパケットをDMZ上のプライベートIPアドレスを持つサーバに転送するために使います。ルータなどでIPアドレスを変換してやります。
で、DNATを使って、YAMAHA FWX120で環境構築しようと画策しました。そこで、ググってみたのですが、YAMAHAのマニュアルや参考ページなどにはDNATの文字がない!
で、ググった結果を読み漁ってみると、静的IPマスカレードとして記載されていました。「これだ!これがやりたかったんだ!」と思って読み込んでみました。
IPマスカレードで調べると、先ほどのe-words.jpではNAPTとして記されています。
NAPTが技術的名称で、IPマスカレードがLinuxでの実装の話になっていて、そのへんを混同してしまうケースが多いようだとのことです。
YAMAHAのマニュアルを見ると、静的IPマスカレードとして説明されていました。ルータやFWでグローバルIPアドレス宛のパケットをDMZにあるプライベートIPアドレスに変換する書式が記載されていました。こちらです。
グローバルIPアドレスでのアクセスをプライベートIPアドレスに変換する際に、ポート番号も変更出来るようになっています。これは上手に活用することで、セキュリティ面の向上に寄与しそうです。
今回は自分自身の備忘録っぽくなりましたが御容赦のほどを。<(_ _)>
