CANPAN ブログ検索
Loading
  • もっと見る
<< 2019年12月 >>
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        
カテゴリアーカイブ
最新記事
最新コメント
MACアドレスフィルタリング(続き) [2016年03月01日(Tue)]
MACアドレスフィルタリング(続き)


 前回設定した「reject-log」や「pass-log」が起こったときに、リアルタイムでメール連絡することが便利だと気がつきました。

 前回の参考webページには、「メール通知機能の設定」があります。
***引用開始***
MACアドレスフィルタリング
http://jp.yamaha.com/products/network/solution/mac/
設定例
メール通知機能の設定
mail server smtp 1 (メールサーバーのアドレス)
mail template 1 1 From:(送信元メールアドレス) To:(送信先メールアドレス) Subject:(サブジェクト名)
mail notify 1 1 trigger filter ethernet lan1 in
***引用終わり***

 「不正アクセス検知」すると、メールで知らせるように設定していました。

[トップ] > [詳細設定と情報] > [メール通知機能の設定]
「メールサーバの設定」
「通知内容の設定」
→「From:(送信元メールアドレス)」、「To:(送信先メールアドレス)」と「Subject:(サブジェクト名)」

 ですから、「mail notify 1 1 trigger」はすでに設定していました。
mail notify 1 1 trigger intrusion lan1 in lan2 in lan1 out lan2 out

 そこで、次のようにしました。
mail notify 1 1 trigger intrusion lan1 in lan2 in lan1 out lan2 out
mail notify 2 1 trigger filter ethernet lan1 in

 突然、約30秒ごとにメールが来るようになり、「pass-log」を「pass-nolog」に変更しました。

[トップ] > [詳細設定と情報] > [コマンドの実行]
ethernet filter 99 pass-nolog *:*:*:*:*:*
と入力して「設定の確定」をクリックしました。

 おかしな例えかもしれませんが、
ethernet filter 1 reject-log 33:44:55:66:77:88 *:*:*:*:*:*
ethernet filter 99 pass-nolog *:*:*:*:*:* *:*:*:*:*:*

では、疑わしい人からの連絡を「reject」して、不特定多数の人からの連絡は「pass」していました。

 このようにした理由は、「ethernet filter」を多く設定すると、「NVR500」の処理が遅くなるかもしれないと思っていました。

 見たことがないMACアドレスを見つけたので、不特定多数の人からの連絡を「reject」して、信頼できる人からの連絡は「pass」するように設定を変えることにしました。

 信頼できるMACアドレスは、次のDHCPサーバ情報にしました。

[トップ] > [詳細設定と情報] > [システム情報のレポート作成]
【 DHCPサーバ情報 】

 そして次のように設定しました。

ethernet filter 1 pass-nolog 31:42:53:64:75:86 *:*:*:*:*:*
・・・
ethernet filter 85 pass-nolog 32:43:54:65:76:87 *:*:*:*:*:*
ethernet filter 91 reject-log 33:44:55:66:77:88 *:*:*:*:*:*
ethernet filter 99 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
ethernet filter 100 reject-log *:*:*:*:*:* *:*:*:*:*:*
ethernet lan1 filter in 1 ・・・ 85 91 100
mail notify 2 1 trigger filter ethernet lan1 in

「ethernet filter 99」は「ethernet lan1 filter in 1」で設定していないので、適用しません。

 「ethernet lan1 filter」を検索してネットを見ていると、次のページを見つけました。

不正ホスト接続禁止
http://jp.yamaha.com/products/network/solution/lua/swx/pc_check/
イーサネットフィルタの設定
ethernet filter 1 pass-nolog *:*:*:*:*:* 01:a0:de:00:e8:13 0 e8,12
ethernet filter 2 pass-nolog dhcp-bind 1
ethernet lan1 filter in 1 2

 つまり、DHCPでIPアドレスを設定するだけなら
ethernet filter 2 pass-nolog dhcp-bind 1
と書いても良いことになります。

 DHCPでIPアドレスを設定するならば

ethernet filter 1 pass-nolog dhcp-bind 1
ethernet filter 91 reject-log 33:44:55:66:77:88 *:*:*:*:*:*
ethernet filter 99 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
ethernet filter 100 reject-log *:*:*:*:*:* *:*:*:*:*:*
ethernet lan1 filter in 1 91 100
mail notify 2 1 trigger filter ethernet lan1 in

と書けることになります。

 しかし
ethernet filter 1 pass-nolog dhcp-bind 1

を実行してしばらくすると

「ホスト名: iPad-Air」のMACアドレスが「ethernet filter 100 reject-log」で「reject」されたというメールが届くようになりました。

[トップ] > [詳細設定と情報] > [システム情報のレポート作成]
【 DHCPサーバ情報 】

を確認すると、IPアドレスをリリースしていませんでした。

 本日、「NVR500 Rev.11.00.28 (Tue Oct 13 12:25:08 2015)」→「NVR500 Rev.11.00.31 (Tue Feb 9 12:05:49 2016)」とバージョンアップをしたためだと思います。

 「iPad-Air」の「設定」→「Wi-Fi」→「接続している回線」をクリック→「DHCPリースを更新」をクリックしました。

[トップ] > [詳細設定と情報] > [システム情報のレポート作成]
【 DHCPサーバ情報 】

を確認すると、IPアドレスをリリースしていました。

 20分以上待っていますが「ホスト名: iPad-Air」のMACアドレスが「ethernet filter 100 reject-log」で「reject」されたというメールが届かないので正常になったと思います。

 しかし、30分後に「ホスト名: iPad-Air」のMACアドレスが「ethernet filter 100 reject-log」で「reject」されたというメールが届いたので、「ホスト名: iPad-Air」だけを「ethernet filter * pass-nolog」という書式でMACアドレスを書きました。


 次に、重要な話を書きます。

ethernet filter 100 reject-log *:*:*:*:*:* *:*:*:*:*:*

のルールで「reject」されたMACアドレスの中に、無線LAN親機(Wi-Fiルーター)WHR-1166DHP2のMACアドレスによく似たものがありました。

 WHR-1166DHP2には、IPアドレスが1個しか設定していないのに、「2.4GHz」用と「5GHz」用の2個のMACアドレスを持っていることは、BUFFALOの「AirStation(WHR-1166DHP2 Version 2.10)」の「ステータス」→「システム」で見ることができます。

 さらに、「中継機能を利用」すると、無線LAN中継機のMACアドレスは親機と接続するためのMACアドレスが2個増えて、合計4個になることがわかりました。

 無線LAN中継機の増えたMACアドレスは、DHCPで設定していないので、「ethernet filter 85 pass-nolog 32:43:54:65:76:87」のように設置する必要がありました。


参考webページ
中継機能を利用したときのMACアドレス制限の設定方法について
公開 2013年6月26日 11時53分 | 更新 2015年12月17日 15時42分
http://faq.buffalo.jp/app/answers/detail/a_id/15113/p/0,1,2,8143

中継機能を利用したときのMACアドレス制限の設定方法について

上位の無線親機にMACアドレス制限を行っている場合、中継機側に接続する機器のMACアドレスも登録する必要があります。
■『中継機能』搭載製品の場合
《対象製品》
WHR-300HP2、WHR-600D、WHR-1166DHP、WHR-1166DHP2
WSR-600DHP、WSR-1166DHP、WSR-1166DHP2
WEX-300、WEX-733D、WEX-733DHP、WEX-G300

『中継機能』搭載製品の場合
2.中継機のMACアドレス
WHR-1166DHP2 の場合
例)2.4GHz帯の無線MACアドレスが「AA:BB:CC:DD:12:38」
2.4GHzで親機と接続する場合 AA:BB:CC:DD:12:3B
5GHzで親機と接続する場合  AA:BB:CC:DD:12:3F
Posted by 山田 雄一郎 at 11:12
この記事のURL
https://blog.canpan.info/hofu_nanboku/archive/301
プロフィール

山田 雄一郎さんの画像
山田 雄一郎
プロフィール
ブログ
リンク集
https://blog.canpan.info/hofu_nanboku/index1_0.rdf
https://blog.canpan.info/hofu_nanboku/index2_0.xml