CANPAN ブログ検索
Loading
  • もっと見る
<< 2019年06月 >>
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30            
カテゴリアーカイブ
最新記事
最新コメント
SIP 攻撃を受けると、こうなる(その2) [2019年01月07日(Mon)]
SIP 攻撃を受けると、こうなる(その2)


 「nvr500 sipアタック」と入力して、ネット検索すると次のブログを見つけました。

 でも、この設定をしていても、「SIP 攻撃」を防ぐことができませんでした。

 なぜなら、「自己SIPアドレス」を知っている相手が「SIP 攻撃」してくると、NVR500ルーターは着信を拒否することができません。

 当たり前のことですね。


*****以下ブログ*****
@y-ken
2014年12月09日に投稿
不正SIPパケット宛の着信をフィルタリングする方法(YAMAHAルータ編)

STEP1: SIPアドレスを確認
[トップ] > [電話の設定] > [VoIPの設定] > [IP電話サーバの設定] の画面にある、
「IP電話サーバの修正/削除」の「設定」ボタンを押し、次の画面を開きます。

STEP2: 自己SIPアドレスの登録
[トップ] > [電話の設定] > [TELの共通設定] > [基本設定] と画面を遷移し、自己SIPアドレスの登録をします。

STEP3: 識別着信の設定
先ほどと同じ画面へ [トップ] > [電話の設定] > [TELの共通設定] > [基本設定] と遷移し、識別着信の設定をします。

番外編
そもそも発信にしか使わないのであれば、使用制限のプルダウンで、発信専用としてしまうのも手ですね。

Posted by 山田 雄一郎 at 07:39
SIP 攻撃を受けると、こうなる(その1) [2019年01月03日(Thu)]
SIP 攻撃を受けると、こうなる(その1)


 「SIP 攻撃」を受けても、NVR500ルーターが「rejected」しているため、実害がないと思っていました。

 ところが、正月に、ふと思いついて、自宅の固定電話から、「市外に住んでいる知人の自宅」の固定電話に電話をかけました。

 受話器からは、「ツーツー」という音しか聞こえませんでした。

 話し中だと考えて、しばらくたって電話しても、「ツーツー」という音しか聞こえませんでした。

 そこで、携帯電話から携帯電話にかけて、「固定電話でずいぶん長く話しているんだね。」というと、電話はかけていないとの返事でした。

 何かおかしいと思って、自宅の携帯電話から知人宅の固定電話にかけると、普段どおり話すことができました。

 知人宅の固定電話から自宅の固定電話に電話をかけても通話ができました。

 点検の結果、恐らく、自宅の「IP電話」の不具合であることがわかりました。

 自宅の「IP電話」は、NVR500ルーターが管理しています。
・市内へはNTT
・市外へは 050

 NVR500の「Syslogの表示」に「rejected」した記録が残っていました。
*****開始*****
2019/01/03 **:**:**: [SIP] SIP Call to [sip:0**********@***.***.***.***] from [sip:050********] rejected with cause NO CHANNEL (3034).
*****おわり*****
[sip:0**********@***.***.***.***](知人宅の固定電話)
[sip:050********](自宅の固定電話)


「rejected with cause NO CHANNEL」でネット検索をしました。
*****開始*****
<独自拡張した切断コード>
3034SIP: NO CHANNEL
インターネット電話用利用可ポート無し。
インターネット電話に使用するポートが確保できなかった。
既にインターネット電話用のすべてのポートが使用されている。
*****おわり*****


さらに、ネット検索をして次のブログを見つけました。

2017-11-28
SIP 攻撃で 050 発信不能にされたので、国外IP を全て弾いてやった
@ 知らん間に SIP 攻撃を受けていたぜ
A ログによれば正常に rejected されたぽいし、クレカの請求額も常識的な範囲内であることから、経済的損失はなかったと推定されるものの、この攻撃を食らうと 050 への発信が出来なくなってしまうみたいです。
B どうも同様の攻撃は 11/13 付近から始まっていたものの毎朝未明に reboot するようにスケジュール登録していたため翌朝には勝手に回復してしまい、また普段から家の電話で発信する頻度が少なかったことと相まって、050 発信不能に気がつくことなく過ごしてきました・・・
C きっと攻撃者は日本人じゃないはず・・・という思い切った仮説のもと、国外IP を全ブロックするフィルターを書いてみることにしました。


 このブログを参考にして、次の対策を考えました。
@暫定対策
・「毎朝未明に reboot するようにスケジュール登録していた」を参考にして、NVR500を再起動しました。
・自宅の固定電話から知人宅の固定電話にかけると、普段どおり話すことができました。

A恒久対策
・「国外IP を全ブロックするフィルター」を参考にして、フィルターを作成することになります。
・今後、フィルターを作成し、上手く動くことが確認できたなら、ブログに書きます。
・なお、NVR500の「通信履歴のレポート作成」を見ると「SIP 攻撃」の有無がわかるので、受話器から「ツーツー」という音が聞こえる場合は、NVR500を再起動することで対応できます。

「通信履歴のレポート作成」の例
2019/01/0*15:**:11SIP:着信00:00:00*3017sip:c@103.***.***.***
※(103.xxx.xxx.xxx はプロバイダから割り当てられた自ルーターのグローバルアドレス)

Posted by 山田 雄一郎 at 23:47
MACアドレスフィルタリング(続きの続きのおまけの継ぎ足しの少し改善) [2016年05月27日(Fri)]
MACアドレスフィルタリング(続きの続きのおまけの継ぎ足しの少し改善)


 「MACアドレスフィルタリング(続きの続きのおまけの継ぎ足し)[2016年03月11日(Fri)]」を少し改善しました。

 改善内容は
@「毎月ついたちの設定保存」を「各月ついたちの設定保存」に変更しました。これで、「11か月前のついたちの設定」を確認できるようになります。
A「毎月ついたちの設定保存」する番号を欠番にするのは止めて、「毎月15日の設定保存」に変更しました。

 「[トップ] > [詳細設定と情報]> [本製品の全設定(config)のレポート作成]」で、内容を確認すると次のようになります。

#
# Ethernet Filter configuration
#

ethernet filter 1 pass-nolog 00:a0:de:**:**:** *:*:*:*:*:*
(略)
ethernet filter 81 reject-log 68:76:4f:**:**:** *:*:*:*:*:*
ethernet filter 99 pass-log *:*:*:*:*:* *:*:*:*:*:*
ethernet filter 100 reject-log *:*:*:*:*:* *:*:*:*:*:*

#
# LAN configuration
#

(略)
ethernet lan1 filter in 1 2 3 4 5 6 7 8 9 10 (略) 81 100
(略)

#
# Schedule configuration
#

schedule at 1 */* 01:04 * ntpdate ntp.jst.mfeed.ad.jp
schedule at 2 */* 00:02 * rotate external-memory syslog
schedule at 3 */Sun 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Sun
schedule at 4 */Mon 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Mon
schedule at 5 */Tue 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Tue
schedule at 6 */Wed 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Wed
schedule at 7 */Thu 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Thu
schedule at 8 */Fri 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Fri
schedule at 9 */Sat 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Sat
schedule at 10 */15 01:05 * copy config 0 sd1:/NVR500/NVR500_config_15th
schedule at 11 1/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Jan
schedule at 12 2/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Feb
schedule at 13 3/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Mar
schedule at 14 4/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Apr
schedule at 15 5/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_May
schedule at 16 6/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Jun
schedule at 17 7/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Jul
schedule at 18 8/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Aug
schedule at 19 9/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Sep
schedule at 20 10/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Oct
schedule at 21 11/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Nov
schedule at 22 12/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Dec

#
# External-memory configuration
#

external-memory syslog filename sd1:/NVR500/NVR500_syslog_
Posted by 山田 雄一郎 at 07:29
MACアドレスフィルタリング(続きの続きのおまけの継ぎ足し) [2016年03月11日(Fri)]
MACアドレスフィルタリング(続きの続きのおまけの継ぎ足し)


 この話は、この辺で止めたいと思います。2回ぐらいで終わるつもりが、長くなりました。

 前回の後、「NVR500」は、ルーター内部で「Luaスクリプト」を動作させる機能を持っているので、「Lua」を使って毎日決まった時刻に「設定ファイル」の自動保存を試みました。

 しかし、「Lua」で「設定ファイル」を自動保存できませんでしたので、「毎月1日と曜日毎」に「設定ファイル」を自動保存することで妥協することにしました。

 「[トップ] > [詳細設定と情報] > [設定ファイル・ファームウェアファイルのコピー]」で、「設定ファイル」を見ると、「1B」単位で表示するため「設定ファイル」の記憶容量が増加しています。

 「設定ファイル」を見直してみると、次の行が追加になっていました。
##sd1:/NVR500/NVR500_20160309

 行の最初が「#」なので、「設定」には、全く影響がないとわかっていますが、気持ちが良くありません。

 「NVR500」を「[トップ] > [詳細設定と情報]」から「コマンドの実行」の「実行」をクリックして、「restart」を入力し「設定の確定」をクリックして再起動しましたが、「設定ファイル」には「例の行」が残っていました。

 次に、「NVR500」を「[トップ] > [詳細設定と情報]」から「お買い上げ頂いた時の状態へ戻す」の「実行」をクリックして再起動しました。

 「NVR500」を「[トップ] > [詳細設定と情報]」から「コマンドの実行」の「実行」をクリックして、「設定ファイル」を入力し「設定の確定」をクリックして再起動しました。

 「設定ファイル」の「例の行」は無くなっていました。

 しかし、「ASUS Eee Pad Transformer TF101」と「iPad Air」で「YouTube」が使えなくなりました。

 さらに、次のような内容のメールが届くようになりました。
ethernet 100 reject lan1 in
(00:a0:de:**:**:** -> ff:ff:ff:ff:ff:ff)

 今まで、「00:a0:de:**:**:**」という「MACアドレス」は「reject」していなかったのでビックリしました。

 ネットで「MACアドレス」を検索して、次のページを見つけました。

Mac address directory
http://macaddress.webwat.ch/
 「Search:」欄にMACアドレスの最初の24bit(3オクテット 例 00:a0:de)を入力して「Find」検索!をクリックします。

 すると、次のような結果が出ます。
Search results:
00:A0:DE - YAMAHA CORPORATION

 次のページも見つけました。

MACアドレス、ベンダーコード一覧(2014/10/08)
http://www.vor.jp/oui/oui.html

00-A0-DE YAMAHA CORPORATION

 「YAMAHA」の製品は、「NVR500」しか持っていないので、「MACアドレス」を調べてみました。

 「[トップ] > [詳細設定と情報] > [システム情報のレポート作成]の【 システム情報 】に、「MACアドレス」が2つ書いてありました。

 つまり、「NVR500」の「MACアドレス」でした。

 「NVR500」の「MACアドレス」を「pass-nolog」に設定すると、メールは届かなくなりました。

 まとめると、今回の「MACアドレスフィルタリング」シリーズで、「NVR500」を次のように追加設定しました。

その1(設定の保存)
ethernet filter 1 pass-nolog 00:a0:de:**:**:** *:*:*:*:*:*
(略)
ethernet filter 100 reject-log *:*:*:*:*:* *:*:*:*:*:*
ethernet lan1 filter in 1 (略) 100
schedule at 2 */Sun 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Sun
schedule at 3 */Mon 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Mon
schedule at 4 */Tue 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Tue
schedule at 5 */Wed 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Wed
schedule at 6 */Thu 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Thu
schedule at 7 */Fri 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Fri
schedule at 8 */Sat 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Sat
schedule at 9 */1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_1st


その2(ログの保存)
external-memory syslog filename sd1:/NVR500/NVR500_syslog_
schedule at 10 */* 00:02 * rotate external-memory syslog

Posted by 山田 雄一郎 at 11:27
MACアドレスフィルタリング(続きの続きのおまけ) [2016年03月07日(Mon)]
MACアドレスフィルタリング(続きの続きのおまけ)


 私は、MACアドレスフィルタリング [2016年02月26日(Fri)]で次のように反省しています。

***引用開始***
 ここで一番反省したことは、工場出荷時に初期化した「NVR500」の設定をするための「設定バックアップ」が、昨年9月の日付が最新だったことです。

 おかげで、着信拒否をする電話番号が、最新の番号から10回線くらい消えました。

 少なくとも、毎月(月初め)、「設定バックアップ」をすることにしました。
***引用終わり***

 ということで、「設定ファイル」の自動保存をすることにしました。

 「設定ファイル」をルーターの内蔵フラッシュROMから外部メモリ(microSD/SDHCメモリカード)へ書き込みます。

 「sd1(microSD/SDHCメモリカード)」に「/NVR500」というフォルダーを作成し、そのフォルダーの中に設定ファイルをバックアップすることにしました。

 ファイルを区別しやすいように、外部メモリのファイル名に年月日を追加しようとしたのですが、うまく出来なかったので、曜日でローテーションするようにしました。

 そして、次のように実行します。

[トップ] > [詳細設定と情報] > [コマンドの実行] で、「1週間分」と「毎月 1日」にバックアップを実行する次の8行を入力し、「設定の確定」をクリックします。

schedule at 2 */Sun 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Sun
schedule at 3 */Mon 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Mon
schedule at 4 */Tue 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Tue
schedule at 5 */Wed 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Wed
schedule at 6 */Thu 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Thu
schedule at 7 */Fri 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Fri
schedule at 8 */Sat 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Sat
schedule at 9 */1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_1st

※「schedule at 1」は、毎日、NVR500の時刻を問い合せることに使用していますので、「schedule at 2」から始めました。
schedule at 1 */* 01:04 * ntpdate ntp.jst.mfeed.ad.jp
※テストで次のコマンドを実行しました。
schedule at 3 */Mon 17:15 * copy config 0 sd1:/NVR500/NVR500_config_Mon
schedule at 9 */7 17:15 * copy config 0 sd1:/NVR500/NVR500_config_1st
「schedule at 3」→「schedule at 9」と実行しますので、私の設定ファイル(約27KB)で行うと、両者の「作成日時」には、2秒の差がありました。



***NVR500で設定する場合の注意事項***

失敗例(その1)
 外部メモリに保存された SYSLOG ファイルに「設定ファイル」を出力して、 SYSLOG ファイルのローテート(バックアップ)を試みましたが、ファイルの中に「schedule at」を実行した結果を追加して書き込むので、完全な「設定ファイル」はバックアップできませんでした。

external-memory syslog filename sd1:/NVR500/NVR500_config
schedule at 2 */* 01:00 * copy config 0 sd1:/NVR500/NVR500_config
schedule at 3 */* 01:00 * rotate external-memory syslog


失敗例(その2)
 私にとって、重要度では低いのですが、時系列的には(その1)の少し前に、下の「参考webページ」を参考にして、
schedule at 2 */man 01:00 * rotate external-memory syslog
を入力し [コマンドの実行]を行うと次のエラーメッセージが出ます。

***引用開始***
コマンド "schedule at 2 */man 01:00 * rotate external-memory syslog" は入力できません。
エラー: パラメータのキーワードが認識できません。
コマンド書式が正しく、またブラウザで入力できるコマンドであることを確認してください。
設定に変更はありません。
[ コマンド入力結果(最新の実行ログ) ]
# schedule at 2 */man 01:00 * rotate external-memory syslog
エラー: パラメータのキーワードが認識できません
***引用終わり***

 単純な間違いです。

間違い → マンデーは「man」ではない
正しい → マンデーは「mon」だ


参考webページ
外部メモリファイルコピー機能
http://www.rtpro.yamaha.co.jp/RT/docs/external-memory/copy.html#external-memory_syslog_filename_new
・外部メモリに保存された SYSLOG ファイルのローテート(バックアップ)
[設定例]
schedule at 1 */* 00:00 * rotate external-memory syslog # 毎日バックアップを実行する
schedule at 1 */man 00:00 * rotate external-memory syslog # 毎週月曜日にバックアップを実行する
schedule at 1 */1 00:00 * rotate external-memory syslog # 毎月 1日にバックアップを実行する
[適用モデル]
RTX5000 RTX3500 RTX1210 RTX810 FWX120 NVR500
 
Posted by 山田 雄一郎 at 18:07
MACアドレスフィルタリング(続きの続き) [2016年03月02日(Wed)]
MACアドレスフィルタリング(続きの続き)


「ethernet filter 1 pass-nolog dhcp-bind 1」の話しをします。

 前回次のように書きました。

***引用開始***
つまり、DHCPでIPアドレスを設定するだけなら
ethernet filter 2 pass-nolog dhcp-bind 1
と書いても良いことになります。
***引用終わり***

 しかし、MACアドレスが「pass」できなくて、「reject-log」のメールが大量に来るので、元のように、MACアドレスを全て記述する書き方に戻しました。

 そして次のように設定しました。

ethernet filter 1 pass-nolog 31:42:53:64:75:86 *:*:*:*:*:*
・・・
ethernet filter 85 pass-nolog 32:43:54:65:76:87 *:*:*:*:*:*
ethernet filter 91 reject-log 33:44:55:66:77:88 *:*:*:*:*:*
ethernet filter 99 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
ethernet filter 100 reject-log *:*:*:*:*:* *:*:*:*:*:*
ethernet lan1 filter in 1 ・・・ 85 91 100
mail notify 2 1 trigger filter ethernet lan1 in

「ethernet filter 99」は「ethernet lan1 filter in 1」で設定していないので、適用しません。


Posted by 山田 雄一郎 at 21:40
MACアドレスフィルタリング(続き) [2016年03月01日(Tue)]
MACアドレスフィルタリング(続き)


 前回設定した「reject-log」や「pass-log」が起こったときに、リアルタイムでメール連絡することが便利だと気がつきました。

 前回の参考webページには、「メール通知機能の設定」があります。
***引用開始***
MACアドレスフィルタリング
http://jp.yamaha.com/products/network/solution/mac/
設定例
メール通知機能の設定
mail server smtp 1 (メールサーバーのアドレス)
mail template 1 1 From:(送信元メールアドレス) To:(送信先メールアドレス) Subject:(サブジェクト名)
mail notify 1 1 trigger filter ethernet lan1 in
***引用終わり***

 「不正アクセス検知」すると、メールで知らせるように設定していました。

[トップ] > [詳細設定と情報] > [メール通知機能の設定]
「メールサーバの設定」
「通知内容の設定」
→「From:(送信元メールアドレス)」、「To:(送信先メールアドレス)」と「Subject:(サブジェクト名)」

 ですから、「mail notify 1 1 trigger」はすでに設定していました。
mail notify 1 1 trigger intrusion lan1 in lan2 in lan1 out lan2 out

 そこで、次のようにしました。
mail notify 1 1 trigger intrusion lan1 in lan2 in lan1 out lan2 out
mail notify 2 1 trigger filter ethernet lan1 in

 突然、約30秒ごとにメールが来るようになり、「pass-log」を「pass-nolog」に変更しました。

[トップ] > [詳細設定と情報] > [コマンドの実行]
ethernet filter 99 pass-nolog *:*:*:*:*:*
と入力して「設定の確定」をクリックしました。

 おかしな例えかもしれませんが、
ethernet filter 1 reject-log 33:44:55:66:77:88 *:*:*:*:*:*
ethernet filter 99 pass-nolog *:*:*:*:*:* *:*:*:*:*:*

では、疑わしい人からの連絡を「reject」して、不特定多数の人からの連絡は「pass」していました。

 このようにした理由は、「ethernet filter」を多く設定すると、「NVR500」の処理が遅くなるかもしれないと思っていました。

 見たことがないMACアドレスを見つけたので、不特定多数の人からの連絡を「reject」して、信頼できる人からの連絡は「pass」するように設定を変えることにしました。

 信頼できるMACアドレスは、次のDHCPサーバ情報にしました。

[トップ] > [詳細設定と情報] > [システム情報のレポート作成]
【 DHCPサーバ情報 】

 そして次のように設定しました。

ethernet filter 1 pass-nolog 31:42:53:64:75:86 *:*:*:*:*:*
・・・
ethernet filter 85 pass-nolog 32:43:54:65:76:87 *:*:*:*:*:*
ethernet filter 91 reject-log 33:44:55:66:77:88 *:*:*:*:*:*
ethernet filter 99 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
ethernet filter 100 reject-log *:*:*:*:*:* *:*:*:*:*:*
ethernet lan1 filter in 1 ・・・ 85 91 100
mail notify 2 1 trigger filter ethernet lan1 in

「ethernet filter 99」は「ethernet lan1 filter in 1」で設定していないので、適用しません。

 「ethernet lan1 filter」を検索してネットを見ていると、次のページを見つけました。

不正ホスト接続禁止
http://jp.yamaha.com/products/network/solution/lua/swx/pc_check/
イーサネットフィルタの設定
ethernet filter 1 pass-nolog *:*:*:*:*:* 01:a0:de:00:e8:13 0 e8,12
ethernet filter 2 pass-nolog dhcp-bind 1
ethernet lan1 filter in 1 2

 つまり、DHCPでIPアドレスを設定するだけなら
ethernet filter 2 pass-nolog dhcp-bind 1
と書いても良いことになります。

 DHCPでIPアドレスを設定するならば

ethernet filter 1 pass-nolog dhcp-bind 1
ethernet filter 91 reject-log 33:44:55:66:77:88 *:*:*:*:*:*
ethernet filter 99 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
ethernet filter 100 reject-log *:*:*:*:*:* *:*:*:*:*:*
ethernet lan1 filter in 1 91 100
mail notify 2 1 trigger filter ethernet lan1 in

と書けることになります。

 しかし
ethernet filter 1 pass-nolog dhcp-bind 1

を実行してしばらくすると

「ホスト名: iPad-Air」のMACアドレスが「ethernet filter 100 reject-log」で「reject」されたというメールが届くようになりました。

[トップ] > [詳細設定と情報] > [システム情報のレポート作成]
【 DHCPサーバ情報 】

を確認すると、IPアドレスをリリースしていませんでした。

 本日、「NVR500 Rev.11.00.28 (Tue Oct 13 12:25:08 2015)」→「NVR500 Rev.11.00.31 (Tue Feb 9 12:05:49 2016)」とバージョンアップをしたためだと思います。

 「iPad-Air」の「設定」→「Wi-Fi」→「接続している回線」をクリック→「DHCPリースを更新」をクリックしました。

[トップ] > [詳細設定と情報] > [システム情報のレポート作成]
【 DHCPサーバ情報 】

を確認すると、IPアドレスをリリースしていました。

 20分以上待っていますが「ホスト名: iPad-Air」のMACアドレスが「ethernet filter 100 reject-log」で「reject」されたというメールが届かないので正常になったと思います。

 しかし、30分後に「ホスト名: iPad-Air」のMACアドレスが「ethernet filter 100 reject-log」で「reject」されたというメールが届いたので、「ホスト名: iPad-Air」だけを「ethernet filter * pass-nolog」という書式でMACアドレスを書きました。


 次に、重要な話を書きます。

ethernet filter 100 reject-log *:*:*:*:*:* *:*:*:*:*:*

のルールで「reject」されたMACアドレスの中に、無線LAN親機(Wi-Fiルーター)WHR-1166DHP2のMACアドレスによく似たものがありました。

 WHR-1166DHP2には、IPアドレスが1個しか設定していないのに、「2.4GHz」用と「5GHz」用の2個のMACアドレスを持っていることは、BUFFALOの「AirStation(WHR-1166DHP2 Version 2.10)」の「ステータス」→「システム」で見ることができます。

 さらに、「中継機能を利用」すると、無線LAN中継機のMACアドレスは親機と接続するためのMACアドレスが2個増えて、合計4個になることがわかりました。

 無線LAN中継機の増えたMACアドレスは、DHCPで設定していないので、「ethernet filter 85 pass-nolog 32:43:54:65:76:87」のように設置する必要がありました。


参考webページ
中継機能を利用したときのMACアドレス制限の設定方法について
公開 2013年6月26日 11時53分 | 更新 2015年12月17日 15時42分
http://faq.buffalo.jp/app/answers/detail/a_id/15113/p/0,1,2,8143

中継機能を利用したときのMACアドレス制限の設定方法について

上位の無線親機にMACアドレス制限を行っている場合、中継機側に接続する機器のMACアドレスも登録する必要があります。
■『中継機能』搭載製品の場合
《対象製品》
WHR-300HP2、WHR-600D、WHR-1166DHP、WHR-1166DHP2
WSR-600DHP、WSR-1166DHP、WSR-1166DHP2
WEX-300、WEX-733D、WEX-733DHP、WEX-G300

『中継機能』搭載製品の場合
2.中継機のMACアドレス
WHR-1166DHP2 の場合
例)2.4GHz帯の無線MACアドレスが「AA:BB:CC:DD:12:38」
2.4GHzで親機と接続する場合 AA:BB:CC:DD:12:3B
5GHzで親機と接続する場合  AA:BB:CC:DD:12:3F
Posted by 山田 雄一郎 at 11:12
MACアドレスフィルタリング [2016年02月26日(Fri)]
MACアドレスフィルタリング


 「NVR500」で、「MACアドレスフィルタリング」を設定しました。

 私の「NVR500」は、DHCPでIPアドレスを割り当てています。

 下に紹介した「DHCPの設定」で説明すると、次のようにしています。
dhcp scope 1 192.168.100.2-192.168.100.191/24
dhcp scope bind 1 192.168.100.101 11:22:33:44:55:66
dhcp scope bind 1 192.168.100.102 22:33:44:55:66:77
・・・

 「システム情報のレポート作成」で、割り当て中アドレスが「192.168.100.2」(MACアドレス 33:44:55:66:77:88)と表示されれば、新しいパソコン等がLANに接続されたことになります。

 LANに含めても良いと判断すれば、次のようにします。
dhcp scope bind 1 192.168.100.103 33:44:55:66:77:88

 ここまでが前提です。

 今日、新しい「MACアドレス」を発見しました。無線LANから侵入した可能性が高いので、「MACアドレスフィルタリング」を実行することにしました。

 断っておきますが、「NVR500」の設定を変えるのは久し振りなので、早速失敗しました。

 つまり、設定例を参考にして、「コマンドの実行」で次のコマンドを実行(「設定の確定」をクリック)しました。

ethernet filter 1 reject-log 33:44:55:66:77:88
ethernet lan1 filter in 1

 すぐ効果が現れ、ネットに接続できなくなりました。

 「NVR500」の「POWERスイッチ」を「off」にして、しばらくしてから「on」にしましたが、ネットに接続できません。

 何かの時に役に立つだろうと、ダウンロードしておいたマニュアル(Users.pdf)がありましたので、工場出荷時の状態で「NVR500」を立ち上げることができました。

***引用開始***
「かんたん設定ページ」から初期化できないときは
 本製品のIPアドレスを誤って設定した場合など、本製品の「かんたん設定」画面から初期化できない場合は、次の操作を行ってください。

ヒント
ケーブル類を取りはずす必要はありません。

1 INIT スイッチを押しながら、本製品の電源を入れる。
 スイッチは小さな穴の内部にありますので、精密ドライバーやボールペンの先など、先の細いもので押してください。
 本体前面のランプが何度か点滅します。

2 INIT スイッチを離す。
 本製品の設定がすべて工場出荷状態に戻ります。
 それまでに設定した内容はすべて初期化されますので、最初から設定をやり直してください。
***引用終わり***

 本題に戻って、「MACアドレスフィルタリング」のことですが、「analog call route」と同じように設定すれば良いと考えて、次のようにしました。
ethernet filter 1 reject-log 33:44:55:66:77:88
ethernet filter 99 pass-log *:*:*:*:*:*
ethernet lan1 filter in 1 99

 明示した「MACアドレス」は拒否するが、それ以外は全て通過させるという内容です。

 「設定の確定」をクリックしましたが、今のところ、ネットにもつながっています。

 [本製品の全設定(config)のレポート作成]を確認すると、次のようになっていました。
#
# Ethernet Filter configuration
#
ethernet filter 1 reject-log 33:44:55:66:77:88 *:*:*:*:*:*
ethernet filter 99 pass-log *:*:*:*:*:* *:*:*:*:*:*

#
# LAN configuration
#
ethernet lan1 filter in 1 99



 ここで一番反省したことは、工場出荷時に初期化した「NVR500」の設定をするための「設定バックアップ」が、昨年9月の日付が最新だったことです。

 おかげで、着信拒否をする電話番号が、最新の番号から10回線くらい消えました。

 少なくとも、毎月(月初め)、「設定バックアップ」をすることにしました。


参考webページ
MACアドレスフィルタリング
http://jp.yamaha.com/products/network/solution/mac/
設定例
イーサネットフィルタの設定
ethernet filter 1 pass-nolog (接続を許可する端末1のMACアドレス) *:*:*:*:*:*
ethernet filter 2 pass-nolog (接続を許可する端末2のMACアドレス) *:*:*:*:*:*
ethernet filter 100 reject-log *:*:*:*:*:* *:*:*:*:*:*

LANポートのIPアドレス設定
ip lan1 address 192.168.100.1/24

イーサネットフィルタの適用
ethernet lan1 filter in 1 2 100

DHCPの設定
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24


参考webページ
RTシリーズのマニュアル配布
http://www.rtpro.yamaha.co.jp/RT/manual.html
YAMAHA NVR500 ブロードバンドVoIPルーター
コマンドリファレンス
http://www.rtpro.yamaha.co.jp/RT/manual/nvr500/Cmdref.pdf
第 8 章
イーサネットフィルタの設定
8.1 フィルタ定義の設定

Posted by 山田 雄一郎 at 23:14
Fedoraのアップグレード 第6報(最終報の追加) [2014年12月31日(Wed)]
Fedoraのアップグレード 第6報(最終報の追加)


 今日は大晦日ですが、Fedoraサーバーを直す見込みが立ちました。

 不具合の原因は、「DIMMメモリ」でした。

 「Fedoraのアップグレード 第5報(最終報)」以降にしたことは次のとおりでした。

 起動用HDDとデータ用HDDを交換して、データ用HDDにFedoraをインストールすることにしました。

 Fedora19をインストールした後で、「webmin」をインストール中に再起動が始まりました。

 この後は、biosの画面が出る前に再起動するようになりました。

 HDDもDVDもクーリングファンも外しましたが再起動が止まりません。

 マザーボード、CPU、DIMMメモリと電源しかないのに再起動が止まりません。

 マザーボードは「ASUS P4G800-V」なので、ASUSのホームページにある取扱説明書を再度確認しました。

 すると、推奨するメモリ構成の注釈として、「青いソケットに同一のDIMMペアおよび黒いソケットに同一のソケットを取り付ける」と書いてありました。

 このサーバーは、部品を買って自分で組み立てました。古いパソコンから使えるHDDや「DIMMメモリ」を持ってきて、安く組み立てました。

 マザーボードには4個のDIMMソケットがありますが、1GB2枚と512MB2枚のメモリを差していました。

 電源の設置場所がマザーボードの左上に来るように「パソコンケース」に取り付けたときに、1GB2枚をソケットの左側に512MB2枚をソケットの右側に差していました。

 この「DIMMメモリ」構成で「Windows-XP」や「Fedora20」を動かしていましたが、不具合は出ませんでした。

 さらに、今回の不具合で「Memtest86」で試験をしましたが、不具合は出ませんでした。

********************

 「ユーザーは取扱説明書のとおり」に実行しないかも知れないと、ASUS社のマザーボード設計者が考慮したとしか考えられません。

 しかし、「Fedora21」には負けてしまったようです。(Windows7はインストールしていません)

********************

 「オウルテック 電源分岐ケーブル 15cm OWL-CBPU001」(オス4ピン → メス4ピン×2)が届きましたので、DVDとHDD2台に電源ケーブルをつなぐことができるようになりました。

 「DIMMメモリ」構成を取扱説明書のとおりにした後で、「Fedora19」をインストールすることができました。

 次に、「Fedora19」ができたなら「Fedora21」もインストールできるのではないかと考えてインストールしましたが、割り当て中アドレスが クライアントID: (ff) (2桁の16進数が18個)となりました。

 ということで、「Fedora19」をインストールして、「fedup」で「Fedora20」にしました。

 不適切な「DIMMメモリ」が、マザーボードにどのような障害を与えているのか分かりません。

 「Fedora21」にアップデートする前の状態にして、24時間運用で不具合が出ないか確認するつもりです。
Posted by 山田 雄一郎 at 21:14
Fedoraのアップグレード 第5報(最終報) [2014年12月27日(Sat)]
Fedoraのアップグレード 第5報(最終報)


 Amazon.co.jp に注文した「玄人志向 ATX電源 400W KRPW-L4-400W/A」が届きました。

 電源「MIRAGE DR-8350ATX (ATX 350W)」を、「玄人志向」の電源に交換しました。

 「玄人志向」の電源は、コネクターが「24/20ピン ATX」だったので、「20ピン」のみをマザーボードに取り付けました。

 問題は、STAT用の電源が3個あるが、IDE用の電源が2個しかないことでした。DVDとHDD2台でIDE用の電源が3個必要でした。

1 最初に、HDD2台に電源を接続しました。

 biosでは2台のHDDを表示しているが、再起動を繰り返す。

 たまにうまくいくときは、起動用のHDDに必要なファイルがないとエラー表示になる。先日のOSインストールをするときに削除したようでした。

 しかも、どうもHDDにアクセスするときに、「Fedora21サーバー」がダウンするようでした。

2 次に、DVDとHDD1台に電源を接続しました。

 「System Rescure CD」をDVDに入れて起動しました。

 起動用HDDは、「System Rescure CD」が立ち上がる前に、再起動となりました。

 データ用HDDは、「System Rescure CD」が立ち上り、「GParted」でパーティションを確認できましたが、再起動となりました。

3 HDDが2台とも故障している可能性があるので、HDDの電源コードを2台とも外して起動しました。

 FedoraのインストールDVDから起動して、「Memtest86」でメモリーの点検をしたが異状はありませんでした。HDD以外のシステムは正常でした。

4 「Fedora21サーバー」の2台のHDDを「CentOS6サーバー」に取り付けて点検しました。

 起動用HDDは、「パーティションは分けていません」でしたが、「SMARTデータ」の総合評価は「ディスクは正常です」でした。それで、HDDをフォーマットしてファイルを書き込むことができました。

 データ用HDDは、正常に読むことができました。ただし、Fedoraのユーザー名を付けたディレクトリーは開くことができませんでした。

5 Fedora21には、グラフィカルな画面の「Workstation」と、CUIモード(コンソールモード)の「Server」というエディションがありますが、今までの設定で「Workstation」エディションを実行してうまくいかなかったので、「Server」エディションを実行することにしました。

6 しかし、「Server」エディションでも、割り当て中アドレスが クライアントID: (ff) (2桁の16進数が18個)となりました。


 結論として、「ASUS P4G800-V」というマザーボードのパソコンは、「Fedora21には対応していないので、Fedora20以下で使用する」ことにしました。


 「CentOS7」は「64 ビット」で使用するように、「Fedora21」は「64 ビット」で使用することが無難であると体験しました。



 なお、「Fedora21サーバー」に元々付いていた電源は予備電源として保管しました。

Posted by 山田 雄一郎 at 22:01
| 次へ
プロフィール

山田 雄一郎さんの画像
山田 雄一郎
プロフィール
ブログ
リンク集
http://blog.canpan.info/hofu_nanboku/index1_0.rdf
http://blog.canpan.info/hofu_nanboku/index2_0.xml