『IPフィルタ設定』のクチコミ掲示板

価格情報の登録がありません 価格推移グラフ


価格帯:¥―〜¥― (―店舗) メーカー希望小売価格:オープン

有線LAN速度:10/100Mbps 有線LANポート数:4 対応セキュリティ:UPnP/VPN/DMZ MN9300のスペック・仕様

価格.comのまるごと安心 設置・修理・サポート。家電・PC・カメラ・ゲーム機が対象。初月無料!
ネットで買うなら!クレジットカード比較
この製品をキープ

ご利用の前にお読みください

  • MN9300の価格比較
  • MN9300の店頭購入
  • MN9300のスペック・仕様
  • MN9300のレビュー
  • MN9300のクチコミ
  • MN9300の画像・動画
  • MN9300のピックアップリスト
  • MN9300のオークション

MN9300NTT-ME

最安価格(税込):価格情報の登録がありません 発売日:2004年 7月24日

  • MN9300の価格比較
  • MN9300の店頭購入
  • MN9300のスペック・仕様
  • MN9300のレビュー
  • MN9300のクチコミ
  • MN9300の画像・動画
  • MN9300のピックアップリスト
  • MN9300のオークション

『IPフィルタ設定』 のクチコミ掲示板

RSS


「MN9300」のクチコミ掲示板に
MN9300を新規書き込みMN9300をヘルプ付 新規書き込み



ナイスクチコミ0

返信11

お気に入りに追加

標準

IPフィルタ設定

2004/11/18 17:36(1年以上前)


有線ブロードバンドルーター > NTT-ME > MN9300

MN9300のLAN側に接続しているPCのうちの2台を、LAN内のほかのPCから隔離したいと思っています。
そこで、その2台に192.168.1.2と192.168.1.3のプライベートアドレスを固定で割り当てて、IPフィルタに以下の設定を追加しました。(192.168.1.1はMN9300のLAN側IPアドレス)
しかし、ウイルスバスターのファイアウォールログに送信元192.168.1.4、送信先192.168.1.2でMS04-011_LSASS_EXPLOITが残ります。
私の設定がどこか間違っているのでしょうか?
ネットワークに詳しい方、お教え願えませんでしょうか?


優先度 インタフェース 送信元IPアドレス 送信先IPアドレス アクション
80 LANから受信 192.168.1.1/24 192.168.1.2/24 通過
81 LANから受信 192.168.1.3/24 192.168.1.2/24 通過
82 LANから受信 192.168.1.1/24 192.168.1.3/24 通過
83 LANから受信 192.168.1.2/24 192.168.1.3/24 通過
84 LANから受信 0.0.0.0/0 192.168.1.2/24 非通過
85 LANから受信 0.0.0.0/0 192.168.1.3/24 非通過
90 LANへ送信 192.168.1.2/24 192.168.1.1/24 通過
91 LANへ送信 192.168.1.2/24 192.168.1.3/24 通過
92 LANへ送信 192.168.1.3/24 192.168.1.1/24 通過
93 LANへ送信 192.168.1.3/24 192.168.1.2/24 通過
94 LANへ送信 192.168.1.2/24 0.0.0.0/0 非通過
95 LANへ送信 192.168.1.3/24 0.0.0.0/0 非通過

書込番号:3515994

ナイスクチコミ!0


返信する
スレ主 INDIIさん

2004/11/18 20:44(1年以上前)

返信ありがとうございます。
確かにルータを介さずにインターネットに接続した場合にはウイルスバスター2005がMS04-011_LSASS_EXPLOITの警告を頻繁に出してきます。(5秒に1回くらいは…)
ルータを通した場合、ルータ側で445番のポートを塞いでくれているのでインターネット経由でネットワークウイルスが来ることはなくなりなした。
ですが、ルータの初期設定ではLANからの攻撃を防ぐことは出来ません。そういう理由もあり上記のようなフィルタリングを行おうとしたのですが、どうもうまく機能していないようです。
上の例で192.168.1.2と192.168.1.4はルータを介して接続していますので(ハブは使っていません)、通信を遮断することが出来ると思うのですが。
やはり私の設定が間違っているのでしょうか?
MN9300のIPフィルタでLAN内の通信を制御している方はおられますか?

書込番号:3516573

ナイスクチコミ!0


asdssssさん

2004/11/19 14:02(1年以上前)

サブネットマスクの値の意味は分かっていますか?
優先度80〜83、84と85、90〜93、94と95はそれぞれ同じ意味になっていますよ。

80〜83は送信元 192.168.1.? から 送信先 192.168.1.? へは全て通過
84と85は送信元指定無しで送信先 192.168.1.? へは全て遮断
90〜93は送信元 192.168.1.? から 送信先 192.168.1.? へは全て通過
94と95は送信元 192.168.1.? から 送信先指定無しで全て遮断

ですが、優先度順で機能しているのは80と90だけで、84、85、94、95は意味が無く、
データは全て通過しています。
と言うより、SuperOPT等のVLAN機能を持ったルータでなければ、基本的にLAN内を
完全に区分けする事は無理ではないかと。

試した事は無いので有効かどうかは分かりませんが、もし設定するなら下記の4つでOKかと。
ルータのIPを 192.168.1.1、隔離したいPCのIPを 192.168.1.2、192.168.13、LAN内の
その他のPCのIPを 192.168.1.4、192.168.1.5 と仮定しています。

80 LANから受信 192.168.1.4/30 192.168.1.2/32 非通過
81 LANから受信 192.168.1.4/30 192.168.1.3/32 非通過
82 LANへ送信 192.168.1.2/32 192.168.1.4/30 非通過
83 LANへ送信 192.168.1.3/32 192.168.1.4/30 非通過

書込番号:3519237

ナイスクチコミ!0


asdssssさん

2004/11/19 14:11(1年以上前)

訂正があります。隔離したいPCのIPで 192.168.13 は 192.168.1.3 で
設定するなら下記の2つでOKかと

80 LANから受信 192.168.1.4/30 192.168.1.2/31 非通過
81 LANへ送信 192.168.1.2/31 192.168.1.4/30 非通過

書込番号:3519253

ナイスクチコミ!0


asdssssさん

2004/11/19 14:17(1年以上前)

ん〜、やっぱり上の設定もおかしいかな。

80 LANから受信 192.168.1.4/30 192.168.1.2/31 非通過
81 LANから受信 192.168.1.2/31 192.168.1.4/30 非通過

の2つ、若しくは

80 LANへ送信 192.168.1.4/30 192.168.1.2/31 非通過
81 LANへ送信 192.168.1.2/31 192.168.1.4/30 非通過

の2つかな。

書込番号:3519269

ナイスクチコミ!0


INDIIさん

2004/11/19 15:40(1年以上前)

asdssssさんありがとうございます。
サブネットマスクはネットワークアドレスとホストアドレスを区切るためのものだと認識していますが、もしかしてここでは意味が違っているのでしょうか?
PC側で確認すると192.168.1.2/24(192.168.1.2 255.255.255.0)が割り当てられています。
asdssssさんがおっしゃっている192.168.1.2/31というのは192.168.1.2と192.168.1.3を表すという意味だと思いますが、私は192.168.1.2/31と192.168.1.2/24は別のアドレスのような気がします。
私の勘違いでしょうか?

MN9300を使っていてこんなややこしい設定をしている人はあまり居ないでしょうね。
まわりにこういうことを聞ける人間はいないし、かといって私もそれほど詳しいわけでもありもせん。
数字が多くて混乱しそうですが、もしよろしければもうしばらくおつきあいください。

書込番号:3519456

ナイスクチコミ!0


asdssssさん

2004/11/19 17:00(1年以上前)

実際の所、私も詳しい事は分からないのですが (^^;

サブネットマスクはアドレスを表す32ビットの値の内、上位何ビットを固定するかを
示す値なので、192.168.1.2/24 では上位24ビットだけを固定するという事になり、
192.168.1.0 〜 192.168.1.255 を全て含む事になってしまいます。

あと、LAN内でやりとりされるデータにはフィルタは掛かっていないので、通過は
設定しなくても大丈夫です。
但し、最初に書いた通り、上記の設定が有効なのかどうかは分かりません(汗

書込番号:3519674

ナイスクチコミ!0


INDIIさん

2004/11/19 18:55(1年以上前)

先ほどからいろいろ設定を変えて試していますが、どうも私が思っているような構成にするのは無理なようです。
MN9300でGapNATを使った場合にはグローバルIPネットワークとLANを隔離することが可能ですので、もしかしたら出来るかなと思ったんですが。
細かくポートまで指定すれば可能なような気もしますが、別にどうしても隔離しなければ困るというわけではないので、半ばあきらめかけています。

サブネットマスクについてですが、我々が通常使用する32ビットのIPアドレスには2つの情報が含まれています。
32ビットのうちの前半はネットワークそのものを表す情報、後半はそのネットワーク内の個々の端末を表す情報です。
サブネットマスクはその2つの情報の区切り位置を指定するものだと思います。
ですから同じ192.168.1.1でもサブネットマスクが255.255.255.0(マスク長24)と255.255.255.128(マスク長25)では全く異なったアドレス(住所)になってしまいます。

書込番号:3520033

ナイスクチコミ!0


asdssssさん

2004/11/19 19:07(1年以上前)

う〜ん、ルータのフィルタリングの設定の場合はどうなんでしょう。
私はサーバが攻撃された場合、相手が固定IPなら32、プロキシ等で最後の数ビットを
数種類同時に使っている場合は19や27と言ったマスク値をかけて規制しています。
この場合、マスク値を32として複数指定しても、27等にしてまとめて指定しても結果
は同じになりますが。
フィルタリングの設定とPCのIPの指定では意味が違うのではないでしょうか。

書込番号:3520089

ナイスクチコミ!0


INDIIさん

2004/11/19 20:06(1年以上前)

もしかしてasdssssさんはホストアドレスを0にしてフィルタリングの設定を行っていませんか?(例えば192.168.1.128 マスク長25など)
0は任意のアドレスを表すので、asdssssさんの行っているような規制も出来るのかもしれません。
ただ場合によってサブネットマスクの意味が異なるというのも何か納得いかないですし、やはり素人にはよく分かりません…。
試しにマスク長32で192.168.1.2と192.168.1.3の通信を遮断する設定だけを有効ににしてみましたが、何も起こりませんでした。
マスク長24で同じ設定をするとネットワーク全体が使用不可になりました。
そういうわけでポートの設定もしなくてはいけないと思うんですが、そこまでするつもりもありませんので諦めたというわけです。

書込番号:3520276

ナイスクチコミ!0


asdssssさん

2004/11/19 23:55(1年以上前)

ホストアドレスとはサブネットマスクで固定したビット列以降の部分なので
数値を指定しても関係ありません。
192.168.1.128/25 も 192.168.1.255/25 も同じ設定とみなされます。

http://e-words.jp/w/E3839BE382B9E38388E382A2E38389E383ACE382B9.html

マスク長24では前述の通り、ルータのIP 192.168.1.1 を含む全てのIPからの
通信を遮断してしまうので、当然ネットワーク全体が使用不可能となります。

書込番号:3521324

ナイスクチコミ!0


クチコミ一覧を見る


価格.com Q&Aを見る

この製品の最安価格を見る

MN9300
NTT-ME

MN9300

最安価格(税込): 価格情報の登録がありません   発売日:2004年 7月24日

MN9300をお気に入り製品に追加する <8

のユーザーが価格変動や値下がり通知、クチコミ・レビュー通知、購入メモ等を利用中です

クチコミ掲示板検索



検索対象カテゴリ
を対象として

新着ピックアップリスト

ピックアップリストトップ

新製品ニュース Headline

更新日:8月12日

クチコミ掲示板ランキング

(パソコン)

ユーザー満足度ランキング

有線ブロードバンドルーター
(最近5年以内の発売・登録)



ランキングを詳しく見る