NEC UNIVERGE IX2000/IX3000 運用構築スレ Part5 at NETWORK
NEC UNIVERGE IX2000/IX3000 運用構築スレ Part5 - 暇つぶし2ch1:ぴころ ◆lHG3Yzo0a6
10/03/21 18:00:00 hxcniBc8
NEC UNIVERGE IX2000/IX3000シリーズに関するスレです。

【公式サイト】
UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC
URLリンク(www.nec.co.jp)

NEC UNIVERGE IX2000/IX3000シリーズに関するスレです。

【公式サイト】
UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC
URLリンク(www.nec.co.jp)

前スレ
URLリンク(www.geocities.jp)

NEC UNIVERGE IX2000/IX3000 運用構築スレ Part4
スレリンク(network板)


関連スレ
NEC系装置勉強会(MM-Node,IP45,ATOMIS etc)
スレリンク(network板)
宅鯖に最適なルータは? 4セッション目
スレリンク(mysv板)
宅鯖に最適なルータは? @ ウィキ
URLリンク(www39.atwiki.jp)

ここで激話題のIX2015は探してね
URLリンク(search3.auctions.yahoo.co.jp)

このスレにカキコすると貴方のIPが出ます。IP確認に使ってね
IP出したくない人は名前のところになんか入れてね

2:ぴころ ◆lHG3Yzo0a6
10/03/21 18:02:00 hxcniBc8
Q1.ファームウェアはどこで手に入りますか
A1.基本的にNECの担当部署または機器を購入した代理店を経由して入手してください。

Q2.ファームのアップデートに必要なものは何ですか
A2.ブートストラップファイル(****.rap)となっているファイルが必要です。
  マイナーバージョンまで一致していればldcファイルでも更新可能なはずです。

Q3.同一型の機器からファームを取り出すことができますか?
A3.rapファイルの取り出しが行えないため不可能です。

Q4.ファームのバージョンダウンは可能ですか?
A4.可能ですが、この場合もrapファイルでの更新を推奨されています。

Q5.コンソール接続する際に必要な機材はある?
A5.自作する以外では、Cisco用のRJ-45 to DB-9 メス(型番:72-3383-01)で動作します。

Q6.オークションなどで売られている機器を・・・
A6.購入元にご相談ください。 URLリンク(magical.cc)

Q7.バージョンって?
A7.世間一般では、X.YY.ZZならXがメジャーバージョン、YYがマイナーバージョン、ZZZがリビジョン番号。
 IXシリーズでは 8.2.19 などと表記されています。

Q8. IX2015バックアップリチウム電池交換
A8. 通常使用で電池を交換するようなへぼ設計はしてません
 電池はメイン基板の黄色い大きな箱の M4T28-BR12SH1 
 URLリンク(xeons.blog35.fc2.com)
 URLリンク(search.digikey.com)
 URLリンク(jp.rs-online.com)

3:anonymous
10/03/21 18:29:20
  フッ…  // !|lii                      // ヽ,
    |l|,.└''"´ ̄`ヽi|li          _  ニ   ,.└''"´ ̄`ヽ≡
   ,.'´  、、   ヽ  ヽ __ ̄ ̄ ̄      ,.'´  、、   ヽ  ヽ _
  ノ lヽ  j /、lヽ ト、  .'!|l    ̄ ̄ ̄     ノ lヽ  j /、lヽ ト、  三
|ilh'´ r'"イ .ノ\| .r=ァ レ'{ }   ̄ ̄  ̄  = h'´ r'"イ .ノ\| .r=ァ レ'{ ≡
{ヽ.,l  r=-       l11`○    ̄ ̄ ̄  {ヽ.,l  r=-       l11`三
o´レ1ヽ'、  ー=‐'    人ill|  `i|l __ _ o´レ1ヽ'、  ー=‐'    人ル ̄─
7' i|! ~' !|l|  il|  i|il!            =' レ~' `--─三- ─
i!| |i                       ○
                         /   ;   / ;  ;
                        // ヽ//    / ヒュンッ
                     ,.└''"´ ̄`ヽ、
                  :  ,.'´  、、   ヽ  /
                  ノ lヽ  j /、lヽ ト、  .',
                 h'´ r'"イ .ノ\| .r=ァ /レ'{ i/
                 {ヽ.,l  r=-       l11`○
                 o´レ1ヽ'、  ー=‐'    人ル 。
                7' レ// `--─‐/´
                  /;     ;  /
                   ;      ;/
           二// ヽ,
           ,.└''"´ ̄`ヽ≡
         ,.'´  、、   ヽ  ヽ _ 三
        ノ lヽ  j /、lヽ ト、  三    ─
      ≡h'´ r'"イ .ノ\| .r=ァ レ'{ 二    二
       {ヽ.,l  r=-       l11`三    ≡           ; .: ダッ
       o´レ1ヽ'、  ー=‐'    人ル ─  _           人/!  ,  ;
      =' レ~' `--─三- ─        _____从ノ  レ,  、

4:IX2010
10/03/21 19:08:42
IX2010欲しいなぁ。

5:IX2015
10/03/21 19:15:29
IX2015だった。

6:anonymouse
10/03/21 21:56:31



7:anonymous
10/03/22 14:27:39
公式サイトが被ってるけど、
>>2は簡潔に良くまとまってるなgj

8:anonymous
10/03/24 18:57:46
さらば魔法の国
去年のクリスマスから数えて、ちょうど3ヶ月の命だった・・・

9:anonymous@eatkyo117253.adsl.ppp.infoweb.ne.jp
10/03/24 21:51:46
>>8
魔法の国って?

10:anonymous
10/03/24 21:54:14
さあ? 有線ルーターのスレにも書き込んだ、キチガイでしょ

11:ホストでてますよ
10/03/24 21:54:17
>>9
>>2 まじかるんるん☆彡

12:anonymous
10/03/24 21:55:55
>>8
でもあれハッシュ違うって話じゃなかった?
前スレで。

13:anonymous
10/03/24 22:04:34
それもあったけど、boot報告が一件もなかっちょ

14:anonymous
10/03/24 22:14:59
>>13
正常に起動したって書き込みならあったよ

15:anonymous
10/03/24 22:18:25
嘘は書くなよ

16:anonymous
10/03/24 22:28:25
>>15
スレリンク(network板:626番) 以降

どのみち>>8が言っている通りサイトごと消えたけどな

17:anonymous
10/03/24 22:31:44
だから、見えないからって嘘を書くなよ

18:anonymous
10/03/24 22:38:33
向こうのスレにも湧いたキチガイだから、相手にするなよ

19:anonymous
10/03/24 22:41:08
うちでは正常に使えてますん。

20:anonymous
10/03/24 22:56:04
ここまで、自演が続くとは…

21:anonymous
10/03/25 12:27:58
前スレって、もしかして初の完走だったりするの?


22:anonymous
10/03/25 22:43:46
>>13
実験用予備機に入れてみてブートシーケンスが終了する所までは確認したけれど
実際使うところが無かったので運用機に入れているバージョンに戻した


23:anonymous
10/03/25 22:56:52
魔法の国で運用してるんじゃないの

24:anonymous
10/03/26 02:25:51
あれ、まずいファームだったの?
入れちゃったよ・・・。

問題無く動いてるけど

25:anonymouse
10/03/26 08:51:13
ぬるぬる動く

26:anonymous
10/03/26 22:59:08
オク業者、必死だな

27:anonymous
10/03/27 17:40:39
>>24
大丈夫。転売屋が騒いでいるだけ。

28:anonymous
10/03/27 17:47:33
うん 動かないと云ったら、買って貰えないもんな

29:anonymouse
10/03/28 05:41:23
そもそも、仮に例の魔法の国のファームとかが動かなかったとして、実際に困る業者って居るわけ?

まぁ、安く買えるなら安く買えても買えなくてもいいんだけどさ。

30:anonymous
10/03/28 06:08:13
>>28-29
おーい、ちょっと日本語がおかしくないか?


31:anonymous
10/03/28 07:51:35
中古で購入した場合でもNECとファームウェアダウンロードの契約すれば、
無償でダウンロードできるようになるんだよね?

32:itヨイトマケ
10/03/28 15:14:06
末広町近くのオットーにIX2015(ver.6 firm)が特価4200円
で売ってた。微妙に高い価格なんでパスしたが、オクより安くなってるんだな。

33:anonymous
10/03/28 17:53:50
安いときに予備と予備の予備で3台入手したからもういらん。

34:anonymous
10/03/28 19:05:53
古物もってれば500円で仕入れられるけどなw

35:Cisco
10/03/28 20:34:57
>>34
古物で最新ファーム入手できないの?
オクにだすなら最新ファームじゃないと恥ずかしいよね

36:anonymous
10/03/28 20:55:16
こじつけが酷過ぎて笑える

37:anonymous@123.230.27.96.er.eaccess.ne.jp
10/03/28 22:03:51
でもぶちゃっけどうなの?もう儲からないでしょ。登録料とかかかるみたいだし

38:anonymous
10/03/28 22:54:22
仕入が500円で済むと仮定して・・・
 ↓
クリーニング(汚いと安い、最悪売れない)
 ↓
ファームウェア更新
 ↓
通電、通信などの確認

とやって、ようやく売りに出せる感じだろうな
そして、オークションの場合は運が悪いければ落札価格が3000円を少し超過したくらい
あと、ネットオークション使わないから詳しく知らないけど、手数料を引かれるんじゃなかったっけ?
中古IX一本でなんてやっていけるわけない

39:UNIVERGE
10/03/29 21:00:51
ヤフオクに400日のライセンス売りが出現してるけどキージェネできたの?

40:anonymous
10/03/29 21:06:39
以前からルータ出品していたIDじゃん
というか、これって法規的に黒じゃないのかな?
SIP-NATはNECも販売停止したし

41:anonymous@ntt1-ppp457.saitama.sannet.ne.jp
10/03/29 23:48:19
NECが販売停止したから他も販売してはいけないと言うことは無いよね・・・・自主停止の場合。
ライセンスに再譲渡禁止事項があれば黒かもしれないし、入手方法が黒なら販売も黒だろうけど。

42:anonymous
10/03/30 00:23:29
ライセンス投入したところで、show licenseの結果見ながらニヨニヨするだけだろうしな
sip-natは自宅でIP電話使っている人もいるだろうから、いくらか需要はあるだろうけど、T1は・・・

43:anonymous
10/04/01 00:15:14
IX2015対iPhoneでIPSec-VPNを張ってみたいんですが
その様な設定事例を公開しているサイトが見当たらず途方に暮れています
設定事例集のpdfにもこういう事例はありませんでした
このような使い方は一般的では無いということなのでしょうか?

44:anonymous
10/04/01 19:27:09
>>43
あれは一般的にはCiscoのVPN端点装置(VPNコンセントレータやPIXやASA)とかを
相手にやるものでは。
IXのVPNはSite-to-Siteの接続につかうものですよ

45:anonymous
10/04/01 20:14:52
YAMAHAと違ってPPTPも使えないしな
スレ違いを承知であえて言うと、OpenVPNサーバを構築しておいて、
SSL-VPNするのがベターなのではないかと。

46:43
10/04/01 20:23:29
なるほどー、そもそも使い道が違うんですね。なんか納得しました。
ちなみにiPhoneはSSL-VPNに対応しておらず、何故かL2TPとPPTP、そしてIPSecという良く分からない選択肢になっているんです。

そして…引き続き質問になって申し訳無いんですが、
IXのIPSecは諦め、手元のLinuxサーバにL2TPクライアントをインストールして、VPNを張ろうと考えました。
そしてローカルのIPを打てばVPNが張れるようになったんですが、外部から張れない状態なんです。
LinuxのファイアウォールとIXのNAPTの両方でポート(UDPの500、4500、1701)は開いているんですが、何故か接続できません。
調べてみると、どうやら「VPNパススルー」という機能を使う必要があるようなのですが、
マニュアルや設定事例集を調べても、そのような機能についての記述はありませんでした。
公式サイトのQ&Aに掲載されていたのですが、この機能はどのように利用すればいいのでしょうか?
それとも、単純にポートを開けば通るよーという話であって、繋がらない原因は別にあるのでしょうか?
ご掲示頂ければ幸いです、よろしくお願いします。

47:43
10/04/01 20:51:25
Q&Aじゃなくて仕様一覧でした、失礼しました。
それと、念のためにコンフィグも載せておきます。ただのNAPTなので間違ってる事は無いと思いますが…。

ip napt service IPsec 192.168.1.10 none udp 4500
ip napt service IPsec2 192.168.1.10 none udp 500
ip napt service L2TP 192.168.1.10 none udp 1701

48:anonymous
10/04/01 21:57:47
ありゃ、SSL-VPNは駄目でしたか。
iPhoneのWebブラウザがSSLに対応していれば使えるんじゃないかと安易に考え過ぎでしたね。

49:anonymous
10/04/01 23:40:34
>>46
ふつうVPNパススルーというのは
NAPTルータの内側のプライベートアドレス空間から
インターネット上のグローバルIPアドレスをもったVPN端点装置に向かって
クライアントPCからVPNトンネルをはるときにNAPTルータがよけいなことをしないようにすること
をさすのではないかな。
今回の事象にはまったく関係のないことのように思えるが。

ポート何番をとおせばできるはず、とかそういう表層的なことではなく、もっとTCP/IPレイヤーから
考え直さないとやりたいことは実現できないとおもうよ。
そうでないなら他のコンシューマ向けルータに取り替えたほうが良い




50:anonymous
10/04/01 23:55:26
IX2015って就職活動みたいなルータだよな

 「中古で安いし、処理能力があるってことなので買いました!がんばります!
  念願の業務用ルータのパワーを手に入れたぞ、ウフフ・・・」

  ↓↓↓

 「他メーカーのルータでは出来ていたことが出来なかった・・・
  思っていたのと違った・・・」

51:43
10/04/02 01:23:16
>>49
なるほど、VPNサーバからのVPNセッションを通すといった感じとは違うんですね。
どうも>>49さんの言うように、もっとVPNやTCP/IPの基本的な所から学ばないと実現できそうにないですね。
ちょっともう少し根本から勉強して出直してきます。勉強になりました、ありがとうございました。

52:anonymous
10/04/02 23:19:47
>>51
通さないとイケナイものは
TCPじゃなくて、IPレベルで調べましょう


53:k
10/04/10 15:18:55
1994年生まれの人集まれ!★3
スレリンク(nendai板)

54:anonymous@eatkyo118119.adsl.ppp.infoweb.ne.jp
10/04/10 19:31:02
>>53


55:,,・´∀`・,,)っ-基地外-
10/04/12 21:27:51
connect [INTERFACE-NAME]やauto-connctで接続したのを切断する(disconnect)場合どんなコマンドを使うの?
disconnect [INTERFACE-NAME]ってないみたいなんだけど

56:anonymous
10/04/12 21:39:14
shutdown

57:anonymous
10/04/12 21:43:38
open コマンドリファレンス | ctrl+F 切断

58:,,・´∀`・,,)っ-基地外-
10/04/12 23:25:14
>>56
ありがとうございます。
disconnectするのにshutdownすんですか。



59:anonymous
10/04/13 01:15:24
>>47
機能説明書の398ページあたりをしっかり読んで頑張って。
特に、「・・・NAPT アドレスで行う場合には、
IKE が使用するUDPの500 番ポートを開いておく必要があります。」あたり。

ip napt static WANIF_IPaddress udp 500
ip napt static WANIF_IPaddress udp 4500
ip napt static WANIF_IPaddress udp 1701

確か↑だけじゃ繋がらないとは思うんだが
「ip napt static」コマンドの方じゃなかったかなー

60:anonymous@113x42x186x29.ap113.ftth.ucom.ne.jp
10/04/13 16:27:03
どなたか私にix2010-boot-22.2-gate-ms-8.3.8.rap を恵んでいただけませんか?
オークションで買ったix2015のバージョンが6.3.23でがっかりしております。
お願いします。

61:anonymous
10/04/13 17:06:23
(*・ω・)っURLリンク(196.254.61.4)

62:anonymous
10/04/13 21:02:32
>>60
8.3.44 で試せば?

63:60
10/04/13 22:02:24
>>61
ダウンロード出来ませんでした。せっかく上げてくださったのに、すみません。
>>62
8.3.44も入手できませんでした。
自分のIPが表示されて涙目w。

64:anonymous
10/04/13 22:07:34
>>61
そのURL何気にクラスCのグローバルIPなんだな

65:anonymous
10/04/13 22:27:20
アップローダに認証付きで上がってんのな
管理人がIXユーザみたいだから、自分で上げたんだろうけど
上がっているバージョンが、8.3.8と8.3.44ってところがまた・・・w
このスレから持っていったのが丸わかりw

66:anonymous
10/04/13 22:29:57
ああ、PHsの家具付き?

67:anonymous
10/04/13 22:32:34
> PHsの家具付き

変に省略されてて意味が伝わってこないけど、PHPほにゃららってところ

68:anonymous
10/04/13 22:32:43
>>63
ネタURLです。
著作権等の関係でUPはムーリ。

>>64
リンクローカルで書いたネタだよw
127とかlocalhostだとすぐ分かりそうだからさ。

69:anonymous
10/04/13 22:35:17
>>65
くわしくw

ちなみに、196.254.61.4 61はレス番61、4は4月って事で書いてみた。(・∀・)
>>63がピュアだったので心が多少痛いw

70:anonymous
10/04/13 22:48:30
詳細も何も、ググればすぐ出てくるから


71:anonymous
10/04/14 07:41:46
ケッ、認証付きかよ。
通報しておくか。

72:anonymous
10/04/14 12:28:56
なんでこういう時って変に突っ張ってる馬鹿が湧くんだろうな

73:anonymous
10/04/16 14:54:25
保守申し込んだらいくら取られるの?

74:anonymous
10/04/17 22:55:39
MACアドレスの変えかたがわかりません!

75:anonymous
10/04/17 23:31:33
方法はありません

76:anonymous
10/04/18 00:48:59
1スレにつき一回は出てくる話だな
KDDIの回線とか使ってて、WAN側のMACアドレス制限があったりとかして、
それでも使いたいっていうパターンだったりするのかな?

77:anonymous
10/04/18 05:18:49
>>76
そです。マニュアル読んでもダメだった。

78:anonymous
10/04/18 14:10:53
ISP側でブロックされている以上、利用者側でできることは皆無。
素直に支給品を使うがよろしい。
auone-netのHGWってAtermじゃなかったっけ?(G-HGWの方はメーカーが分からないけど)
悪くはないと思うけどね。


79:anonymous
10/04/18 14:24:31
WAN側のMACアドレスを偽装して、24hごとに来るRADIUS認証をどうにかして突破すればイケるって話
あとAUひかりのAtermに限って性能が悪いらしい

80:anonymous
10/04/18 15:17:23
> WAN側のMACアドレスを偽装

何はともあれ↑の機能を搭載していることが前提になる
そして、残念ながらIXにその機能は無い
どうしてもIXを使いたいなら、それが出来るISPに契約変更するしかないだろうな

81:anonymous
10/04/18 15:27:45
>>79みたいな事書いといてアレだけど、KDDIの回線って事はギガホームじゃないの?
IXってギガインターフェース無かったと思うけど、100Mで使いたいって事なのかな

82:anonymous
10/04/18 16:14:45
BL190HW+RTX1200ってやっている事例(というか個人ブログ)があるな
同じことをやればいけるかもな

83:anonymous
10/04/18 16:50:15
>>81
Giga I/Fは存在してはいるが、IX3*10用の追加モジュールだよ


84:anonymous
10/04/18 20:57:36
>>81
VDSL100Mあります。
HGWはBL172HV


85:貧弱一般人
10/04/30 04:30:11 O9FxRNwR
よければちょっと相談に乗って頂けまいか。ド質問で申し訳ないのだがが。

以前に物だけ仕入れて放置してあったIX2015を、ちょっと事情があって現状使用している
OPT100Eの代わりに交換しようと思うのね。
んで、OPT100Eのようなブロードバンドルータ代わりな感じで使いたいんだけど…。

アクセスリストの考え方が理解し難い。
IX2015関連でググって出てくるサイトさん方だと当たり前のようにアクセスリストを設定
してるみたいなんだけど、これって基本無しで良いものなんじゃないの?
もし使うとしたら、LAN内でアクセス可能な領域を分けてる(VLAN的な)とか、社内シス
テムみたいな閉じておくべき系を公衆回線使ってVPN接続するなんて際に想定外の接続先に
万一にも繋がらないようにするため、とかって用途の場合じゃないかなって思うんだけど。

そういう搦め手な使い方するんでない限り、つまり普通にネット接続する際のポートアタッ
クやセキュリティホール探りを回避するためって感じで設定してるように思える例ばっかり
見つかるんだけど、それって必要なくない?
WAN側からルータ(IX2015)の持ってるグローバルIP単体に対してサーチかけようとしたと
ころで、その先の配下にいる端末やらサーバやらに通じさせるにはローカルIPやMACとの変
換をルータちゃんにやってもらわないとならないわけで、それは内側(LAN側)から通信要
求出したものの応答でない限りは変換のされようがない気がするんだけども。

とはいえ、IX2015のデフォルト設定時(無設定時)の動作ポリシーが説明書に書いてなくて、
いまいち確信が持てないのよね。
アクセスリスト設定が特に無い状態で、基本は開いてるのか閉じてるのか。(開いてるのだ
とは思うけど)
一般的ブロードバンドルータみたいに内側(LAN側)からの通信と外側(WAN側)からの通信
の扱いが違うのか全く等価なのか。等価だとするとアクセスリストで下手に閉めちゃうと
内側から要求した際の通信も通らなくなっちゃうけど…。

実際に試しながら設定入れ替えてみれば早いじゃんって話なんだろうけど、回線断する回数
と時間は最小に留めたいんだよね…。(勝手で申し訳ない)
もしお解かりになる方いらしたならお知恵を拝借願えまいか。何とぞお願い申し上げます。

86:貧弱一般人
10/04/30 04:32:28
>>85
ド質問 もとい ド素人質問、です。誤字脱字お恥ずかしい限りです…。

87:anonymous
10/04/30 06:58:42
>>85
このルータにはWANのポートは無いでしょ。
従って、等価うんぬんは話が始まらない。

設定を入れ替えても回線断は生じない。
従って、「回線断する時間は最小に。」
なんて事は考える事自体が間違い。

そろそろおもちゃのルータに慣れすぎた思考回路を改めないと。

88:それ行け
10/04/30 07:49:03
確かアクセスリストなしだと、WANからのパケは自動的に弾かれてLANからは外にいける設定になる

89:それ行け
10/04/30 08:19:20
ごめん上のは間違い
機能説明書の2.33.1を読めば書いてある

90:貧弱一般人
10/04/30 09:07:43 O9FxRNwR
>>87
> WANのポートは無い
これはその通りです考え方が改まりましたありがとうございます。
> 設定を入れ替えても回線断は生じない
これもその通りではあるのですが、装置自体の交換時には切れますし、導入時点で設定問題から
希望通りに動作しなければ切れたままともなってしまいます。場合によって旧機に戻したり再交換
したりしてるとだらだら細切れしてしまうので、予め設定詰めておきたいのですよね。

>>89
> 機能説明書の2.33.1
ありがとうございます確認してみました。
「何れにも一致しない場合はdenyを返す」とあるので、デフォルトでは閉じている考え方のようで
すね。
しかし、そうなると、まずは「ip access-list all-pass permit ip src any dest any」のような
全開放を入れておかないとポート越しの通信は全くできない?(んな無茶な、とも思いますが)と
いうことになってしまうんでしょうか…??

91:それ行け
10/04/30 12:17:16
アクセスリストは白紙でNATかNAPTの設定を書いておけば、外→内は×、内→外は◯になったような

92:anonymous
10/04/30 12:29:42
>>90
ちゃんと読もうね。
読む場所が違う。
フィルターの話なんだからフィルターの所を読まないと。

2.20.1 スタティックフィルタ
スタティックフィルタは、インタフェースコンフィグモードで、ip filter/ipv6 filter コマンドを使
用して設定します。1 つでもフィルタを登録した場合、そのインタフェースでは、パケット検索
に一致しないパケットは自動的に廃棄する設定となります。

だからデフォ(1つも無い)では全オープン。

93:それ行け
10/04/30 12:50:19
90
裏は必ずしも真ならず、だから
一つもフィルタを登録しない場合については廃棄するか否かはその文章からは断定できない

94:貧弱一般人
10/04/30 14:01:26
皆さまありがとうございます~。
やはり私の使用例ではアクセスリストは設定する必要なさそうです。
お陰で考えがまとまりました。これで後は実機で試しながらでもあまり
混乱せずに済みそうですw

それでは、お目汚し失礼致しましたm(_ _)m

95:anonymous
10/04/30 14:37:00
アクセスリスト(ファイアウォール)の動きはCiscoと変わらんでしょ
設定されていない場合は全オープンだから、NetBIOSもダダ漏れ
一行でも設定されている場合は、一致しない場合は暗黙のDeny Anyで廃棄

96:貧弱一般人
10/04/30 16:22:57 cRCyNHI1
>>95
むむ、なるほど。
そうするとやはり、例えばこちらのサイト様みたいに、
URLリンク(www.kozupon.com)

まず閉めるトコ閉めるリストを投入しておいて、その後に全開けの[permit ip src any dest any]
を入れる形にするのが正解なのですかな?
(参照順から、[1]閉め条件に該当してると破棄→[2]それ以外なら通す、の判定動作になる。)

んんー、あ~、またなんか振り出しに戻っちゃった気がするw
(でも理解は一歩進んだ気もするっす。ドモでした。)

97:anonymous
10/04/30 16:38:17
ブロードバンドルータとして使えれば良いというだけなら、メーカーは違うけど
URLリンク(netvolante.jp)
と同じようなip filterを設定すればいいと思うけどね。

※netbios_ns-netbios_ssn は 137-139 と同義

98:anonymous
10/04/30 23:42:02
>>96
全部開いている状態から、”必要でない”ものを閉めていく。(外から中への、インバウンド接続)
家庭向けのは大体逆で、閉じている状態から”必要なもの”を開いていく。(外から中への、インバウンド接続)
大してアウントバウンドは、基本的にどちらも同じ。

ていうか、https:// www.grc.com/x/ne.dll?bh0bkyd2 とかで外からの接続をチェックしてみればいい。
いわゆるポートチェック。

自分もOPT100EからIXにしようと思っているんだけど、ファーム公開しないのが気にくわないw
から、MR504DV使ってみたり、あとはヤマハとか古河とかけんとうちゅ。

99:anonymous
10/04/30 23:55:23
>>98
fitelnet-f100出てるぞ
URLリンク(page10.auctions.yahoo.co.jp)
がんばれ

100:anonymous
10/05/01 00:01:45
>>99
39
だがしかし、既にウォッチリストに(・∀・)

101:anonymous
10/05/01 00:10:07
古川は触ったことが無いから詳しくは知らないけど、処理能力だけを見た場合は、

IX2015 > FITELnet-F100 > YAMAHA RTX1500(もしくは1100)

って感じになるのかな?

>>100
競争に破れたら山葉にしとけ



102:anonymous
10/05/01 00:31:33
>>101
ショートパケットの処理能力はRTX1500はIX2015に引けを取らない
1100なんかとは比べ物にならない


103:anonymous@server009.hostspectrum.com
10/05/01 01:10:48
>>99
F100なら少し前に新古で5000円切ってるのが各所から大量に出てたのにな。
倍だとなんとなく負けた気がする

104:anonymous
10/05/01 02:06:09
>>96
そこのサイトall-passを最初に付けてるけど大丈夫なんかな
最後に付けると思ってたけどどうなの?


105:anonymous@58-3-109-138.ppp.bbiq.jp
10/05/01 02:16:44
ぶっちゃけそのサイトのやってる事って10年前のやり方だから無駄だしセキュリティ的にも穴だらけ
ix使ってるのにダイナミック使いこなせないとか宝の持ち腐れ

106:anonymouse
10/05/01 02:17:16
>>104
てっきりフィルタ番号の大きい順に適用されるものと

107:anonymous
10/05/01 02:25:04
>>106
大きい方が優先だっけ?
小さい順じゃなくて?

108:anonymous
10/05/01 02:43:34
>>97を参考にフィルタを書くと17行でいけるな

109:anonymous
10/05/01 08:11:01
>>103
>>99のオクは落札されずに終わってて、一時出品されてなかったんだけど、また出品したっぽい。
必要なら10kでいいけどね。
RTX1200がほしす。

110:anonymous
10/05/01 09:02:46
どんなに安売りしていても8万円を下回ることはなさそうだからな
現状でそれ一品しか出ていない以上、1万円だろうと突っ込むしかない

111:anonymous
10/05/01 14:25:23
ってか、BBルータレベルなら公式サイトの設定例で足り無くない?


112:anonymous
10/05/01 14:29:30
意外と必要条件と環境を出しておくと、
いい人が、サンプルを書いてくれるかも

113:anonymous
10/05/01 17:34:05
こんなところか?(参考は>>97

# 全部通す ※ダイナミックフィルターで使う
ip access-list all-permit permit ip src any dest any
# 全部弾く
ip access-list all-deny deny ip src any dest any
# 対ブラスター(今はもう必要ない?)
ip access-list blaster-block deny tcp src any sport eq 135 dest any dport any
ip access-list blaster-block deny tcp src any sport any dest any dport eq 135
ip access-list blaster-block deny udp src any sport eq 135 dest any dport any
ip access-list blaster-block deny udp src any sport any dest any dport eq 135
# ip spoofing攻撃、land攻撃、smurf攻撃に対策
ip access-list ipspoof-block deny ip src 使用しているプライベートアドレス/サブネットマスク dest any
# NetBIOS関連
ip access-list netbios-block deny tcp src any sport range 137 139 dest any dport any
ip access-list netbios-block deny tcp src any sport any dest any dport range 137 139
ip access-list netbios-block deny udp src any sport range 137 139 dest any dport any
ip access-list netbios-block deny udp src any sport any dest any dport range 137 139
ip access-list netbios-block deny tcp src any sport eq 445 dest any dport any
ip access-list netbios-block deny tcp src any sport any dest any dport eq 445
ip access-list netbios-block deny udp src any sport eq 445 dest any dport any
ip access-list netbios-block deny udp src any sport any dest any dport eq 445
# ダイナミックフィルター
ip access-list dynamic access1 access all-permit
# 適用
interface WAN側インタフェース
 ip filter ipspoof-block 10 in
 ip filter all-deny 20 in
 ip filter blaster-block 10 out
 ip filter netbios-block 20 out
 ip filter access1 30 out
(1/2)

114:anonymous
10/05/01 17:34:48
# telnet/httpアクセス用
ip access-list management permit ip src 使用しているプライベートアドレス/サブネットマスク dest any
# 適用
telnet-server ip access-list management
http-server ip access-list management

(2/2)

115:anonymous@ntt2-ppp390.saitama.sannet.ne.jp
10/05/01 18:02:49
おまえらNAT環境じゃないの?

116:anonymous@202.171.155.143.static.zoot.jp
10/05/01 18:10:05 SQeLdoCn
URLリンク(www.nikkeibp.co.jp)
URLリンク(money.quick.co.jp)
URLリンク(o.aolcdn.com)
URLリンク(www19.atpages.jp)
URLリンク(money.quick.co.jp)


117:anonymous
10/05/01 18:13:33
Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 202.171.155.128/27
b. [ネットワーク名] ATFREAKS
f. [組織名] 有限会社アットフリークス
g. [Organization] Atfreaks Co., Ltd.
m. [管理者連絡窓口] JP00006345
n. [技術連絡担当者] JP00006345
p. [ネームサーバ]
[割当年月日] 2010/01/12
[返却年月日]
[最終更新] 2010/01/12 17:56:23(JST)

上位情報
----------
株式会社 インターリンク (INTERLINK Co.,LTD)
[割り振り] 202.171.128.0/19
株式会社 インターリンク (INTERLINK Co.,LTD)
SUBA-ZOO-06B [SUBA] 202.171.128.0/19

118:an
10/05/01 19:51:23
>>115
それ、俺も思ったw
なんだか~番ポートは危ないから閉じておけみたいなのをググって
それを設定に落としてるだけな感じがするw

119:anonymous
10/05/01 20:18:51
自分の環境なんだから好きにやれよw


120:anonymous
10/05/01 20:30:05
>>115
え?
意味が分からん。

121:anonymous
10/05/01 20:40:32
>>120
NAT/NAPTが簡易ファイアウォール的に使えるってこと

122:anan
10/05/01 21:32:29
NAPT使ってる時点で、内部のPCに外部からアクセスなんか
できないんじゃんって意味でしょ。

アクセス出来たらポート解放なんていらないわけでwwww



123:anonymous
10/05/01 21:53:29
いや、NAT/NAPTでも反応しないようにしとかないと、
インバウンド接続が完了するか云々じゃなくて、攻撃
対象になるでしょと・・・。(ACK返すとさ。

124:anonymous
10/05/01 22:37:06
>>99
結局入札されなかったみたいだな
残り2日に延長された

125:a
10/05/01 23:37:37
>>123
その為のダイナミックでしょ…。

126:anonymous
10/05/01 23:50:26
>>125
話がずれてるがな。

127:anonymous
10/05/02 00:50:50
天然です

128:anony
10/05/02 01:30:43
F100なんて1500円で売ってたろ
2台買ったけどIX2015あれば必要ない

129:あの
10/05/02 01:33:35
DDNS同士でIPsec張れますか?

130:anonymous
10/05/02 01:35:45
それも一スレにつき一回は出ている話だけど、どちらか片方は固定IPが必要なはず。

131:貧弱一般人
10/05/02 03:01:53
>>113-114
激しくありがと~!(゚▽゚)
とても参考になります。

ウチの場合、配下に通常PC端末の他Web&FTPサーバがいるので(主な用途は身内でファイルやり取り
する用なんですが)、それ用の設定も加えてエンヤコラしてみますー。

このGW中に交換実施できるといいなぁ…w

132:anonymouse
10/05/02 03:06:08
>>130
補足するとDDNSとか使わなかったような

133:貧弱一般人
10/05/02 03:38:57
ちなみに、これは完全に蛇足ではあるのですが交換する動機について。
使ってる回線(Bフレベーシック+インターリンク接続)の品質が酷いことになってて、インターリンク区間で
謎のパケロス(実に35~40%超)が起こってるんですよ。(毎日、妙なタイミングで数時間続く)
んで、インターリンクには素早い対処は望めないんで回線の乗せ換えを検討してるんですが(1年
前は引けなかったUCOM/Gate02がサービスエリアinしてたので)、時期的にGW挟むから工事どう
しても遅くなる、と。
なので、その前に一度回線断からのリルートを試してみようかな、と。リルートを試みるには10分
以上は回線落とす必要があるので、それだけの時間切るならついでにルータも高性能機に
交換してみようかな(万一、現行のOPT100Eが負荷や磨耗からアップアップしてる被疑性を潰す
ためにも)、という次第です。

なんでこんな長文書いたかっていうと、もしかしたら情報交換できればなと。
ここ半月ほど、ウチのインターリンクに限らず(ていうかインターリンクは酷すぎなので一旦除いて考える
としても)、国内のWebアクセスで軽いルートと重いルートの明暗が別れすぎな気がするのですよ。
超大手さんの立派回線&サーバはそんなこと全然ないみたいなんですが、ちょっと小規模
っぽいサイトさんやレンタルシステム系統だともう駄目って感じで。

最初はウチの端末の問題なのかと思ったけど、場所と端末・回線を変えてみても同様だし、
DNSサーバーが息切れしてるのかとも思ったけどIPアドレス直指定でも変わらないし。
ネットワーク全体で変な圧迫でも起こってるのかな? なんかワームが暴れてるとか?
(実はそれら重いサイトさんやレンタシステムさんがウチと同じインターリンク使ってるとかだったら話はそれ
までなんですがw …あるいは全部わたしの気のせいか。。)

134:貧弱一般人
10/05/02 03:41:35
ていうかここに書くことじゃなかったかも…。
お門違いだったら大変すみませんでした osz

135:anonymous@s172.GsizuokaFL1.vectant.ne.jp
10/05/02 11:13:54
>>133
Bフレッツ対応の安いプロバイダ契約してみればいいじゃn

136:anonymous
10/05/02 15:52:34
>>129
アグレッシブモードでも片側は固定IPがいる。
コンフィグの書式としてピアの相手はIPアドレスでかかなきゃいけないので
DDNSとかどちらにせよ無理だな。


137:貧弱一般人
10/05/02 18:31:46 KBuWpyI7
ぐお、すみません間違えたりrenge重複したりちゃったアクセスリストの消去や修正って
どのコマンドから可能でしょう?
clearコマンドだと定義されてないし、上書きはできないみたいだし…
(お恥ずかしい限りです(/ω\*) )

138:貧弱一般人
10/05/02 18:49:24 KBuWpyI7
あ、ついでに聞いちゃうんですけど、
>>113 の適用に、http&FTP等の公開設定を割り込ませる場合、例えば、

ip access-list [リスト名X] permit tcp src any sport any dest any dport range 20 25
ip access-list [リスト名X] permit tcp src any sport range 20 25 dest any dport any
ip access-list [リスト名X] permit tcp src any sport any dest any dport eq 80
ip access-list [リスト名X] permit tcp src any sport eq 80 dest any dport any

#これを適用で、
interfase [WAN側に繋げるIF]
ip filter [リスト名X] 15 in

って、in方向の10番[ipspoof-block]と20番[all-deny]の間に処理させる優先順位で
考え方あってます? よね?(汗)

いやしかし、>>113様はすごくありがたいです実際に読み替えながら打ち込んでみたら
謎呪文の羅列のようなコマンド集のパラメータ解説がようやっと読み解けましたw
もう足を向けては寝られませぬな…(゚ω゚*)

139:anonymous
10/05/02 18:52:40
>>137
コマンドの最初にno付けとけ

140:anonymous
10/05/02 19:03:20
貧弱一般人を見ていると若い(色んな意味で)っていいなぁと思う。

141:anonymous
10/05/02 19:04:47
>>138
dest anyは駄目
それとポート番号が違う

ip access-list XXX permit tcp src any sport any dest サーバのプライベートアドレス/32 dport range 20 21
ip access-list XXX permit tcp src any sport any dest サーバのプライベートアドレス/32 dport eq 80

適用方法はそれでいいけど、NAT/NAPTを使用している場合は、ip napt service~や、ip napt static~で
紐付けをする必要があるはず

142:貧弱一般人
10/05/02 19:36:00
>>139
>>141
できました&修正できました~~!
ありがとうありがとうございまっす!!

no コマンドに気づいてませんでしたお恥ずかしいw
あとアウトバンド方向の記述が余計だったことに気づいたので削りました。

>>140
(*ノノ)

143:anonymous
10/05/02 19:46:37
>>138
それぞれの2行目のやつ
ip access-list [リスト名X] permit tcp src any sport range 20 25 dest any dport any ← 既に指摘されてるけど、×25 ○21
ip access-list [リスト名X] permit tcp src any sport eq 80 dest any dport any
はいらないはず
鯖から返すときはダイナミックフィルターで通すはずだから

144:貧弱一般人
10/05/02 21:00:38
>>143
ありがとうございます。
確かによく考えてみたら24番と25番は不要でした。(23番は、遠隔メンテにSSH接続を
使うことがあるかもなので、通るようにしてあります。)

これでかんぺきぃぃぃ!!! と思って最後に
copy startup-config default-config をやり直そうとしたら、
エラー?[can not overwrite an existing file]って出ちゃうんですけど、上書き
できないってことは先に既存のdefault-configを消すとかなんかしないといけない
んでしょうか…?

(ぉぉぉまたさっきの no ~ 並みに基本的なことを見落としてる気がする…)

145:anonymous
10/05/02 21:02:30
>>144
copy run start
wri mem

好きな方を

146:貧弱一般人
10/05/02 21:10:41
>>145
あ、すみませんありがとうございます。
コマンド集から見つけた erase default-config で一旦消してから改めて
copy startup-config default-config したらイケました。

ただ、一旦default-config消すってのがチョー怖くて、これ次copy投入する
までに万一停電とかあったら\(^o^)/激しくオワタ になるのかと無駄にドキドキ
しながら打ち込んでましたw

…やっぱりもっとマトモなやり方あったんですねw

147:anonymous
10/05/02 21:11:03
>>144
お前さんの経験値が足りないというのはよく分かった

running-config : 現在稼働中、編集中のコンフィグ

startup-config : 起動時に読み込まれるコンフィグ

default-config : startup-configが存在しない場合に読み込まれるコンフィグ

148:貧弱一般人
10/05/02 21:16:10
>>147
ぎゃぁぁぁあばばばば
実にご指摘の通りで、startup-config と default-config の違いがよくわかってません
でした orz そのお書き分けでよく理解でしたどうもすみませんありがとうございました。

149:hoge
10/05/02 21:23:16
>>144
port 23 ---> telnet
port 22 ---> ssh

デフォルトポートはまず狙われると思っておけ

150:anonymous
10/05/02 21:43:56
なんか皆、貧人に優しくてわらた。
GWのおかげか。

151:anonymous
10/05/02 22:13:05
普段過疎ってるっていうのも手伝ってるんじゃね?
安定している証拠とも取れるけど

152:貧弱一般人
10/05/02 22:26:42
できたっっ!! 第三部完ッッ!!!

(*゚▽゚)
ひとまずお試しにサブ回線側に繋げてみて現在動作問題ないように見えます。
この書込みもそちらの系統から行っております。
これで2~3日ランニングテスツ(ていうか様子見)してみて問題なければ、次は!いよいよ
メイン回線に導入しちゃうぞ~~☆

この稼動を確保するために先週から徹夜続きで仕事片付け続けた甲斐があったでござる^q^
そして世間様でごーるでんうぃーくとかいうナニソレ?歌?外人?なシロモノのお陰で
外部から連絡も"悪いけど今日中にやって"もないので静かに思う存分取り組めるでござるよヤッタネ!

……今日はもう帰って寝ますw
いやほんともう一日中アドバイス頂いちゃって、誠にありがとうございました!m(_ _)m

153:anonymous
10/05/03 01:18:27
一気に騒がしくなったと思ったら一気に過疎ったな
これでこそIXスレだわw

154:anonymous
10/05/03 01:47:10
連休中だと良くある事ある

155:anonymous
10/05/04 10:46:43
たまにこういうことあるから、楽しい

156:anonymous
10/05/04 11:04:15
IXもってないオレは、悲しい

157:anonymous
10/05/05 00:11:56
これはひどい
URLリンク(page17.auctions.yahoo.co.jp)


158:anonymous
10/05/05 00:27:48
えっ?

159:anonymous
10/05/05 00:37:44
3万近くってw

160:anonymous@server009.hostspectrum.com
10/05/05 08:11:10
>>157
そこ、ラックサーバは悪くない値付けなんだけどねぇ。何度か買った。
ネットワーク系が総じて高めなのは、リース屋の放出価格からして高いのかね。


161:anonymous
10/05/05 22:30:07
いや、Get Itはどれもこれも割高
別に手入れや梱包が入念な訳でも無いし
新古品って訳でも無い

162:anonymous@s215196.ppp.asahi-net.or.jp
10/05/05 22:51:51
あそこの商品でこれは安いって思った事が無い貧乏人ですが何か?

163:anonymous@PPPbf798.saitama-ip.dti.ne.jp
10/05/05 23:09:36
1Uのラック鯖やRAIDカードなんかでは時々世話になってるな>GetIt


164:anonymous
10/05/07 20:55:56
購入検討してるので、どなたか教えてくださいませ。

MPC8270Aってのが新しいCPUでしたっけ?
オクで買うときに、これらの表示がない場合どこで見分ければよい(´・ω・`)?
筐体のポート面の右下にUNIVERGEってあるのは全部MPC8270A!?

MR504DVからの乗り換えなのです。

よろしくお願いします。



165:anonymous
10/05/10 19:08:35
>>164
性能的には全部一緒だから気にせず買っとけ
UNIVERGEと書いてある奴が比較的新しいロットになるが
リース上がり品をオークションで買うときには写真の使いまわしは日常的に行われているから信用するな


166:anonymous@52.net112138216.t-com.ne.jp
10/05/10 21:40:57
恐怖心が生む妄想の悲劇とでも銘打ちますか?

怖くて怖くて 飛んで逃げた
追いかけてられると砂かける

すこしは優しさを見せる気はないのですか?

167:anonymous
10/05/11 23:43:47
>>165
ありがトン!

168:anonymouse
10/05/12 01:18:27
>>165
UNIVERGEのロゴ付き,ロゴなしは明確に区別してるトコが多いんじゃね?


169:anonymous
10/05/13 12:26:33
ついに最新ファームウェアの新品のIX2015をゲットした!

と思ったら夢だった。(´・ω・`)

170:anonymouse
10/05/15 21:11:34
IX2025も今年中にGizaモデルがでるっぽいね
フレッツのハイスピード(200M)が始まってるから
もう遅いぐらいなんだけどな
ヤフオクに出回るのはもって先か

171:anonymous
10/05/15 21:21:47
Gizaモデルってのは新しいな
表面がドリアンみたいになってるのかな?

172:anonymouse
10/05/15 21:34:54
これは恥ずかしいwww

Gigaの間違い!!

173:anonymous
10/05/15 21:48:30
とまあ冗談はさておき、ついに出すのかって感じだね
スペック表が発表されたら、眺めてニヨニヨして過ごすか・・・
新品には手が出ないし

174:ゆとり
10/05/15 23:39:23
2015も郵便局?のリース上がりみたいだし、ギザはかなり時間かかると思うよ

175:anonymous
10/05/16 02:59:29
今、RTX1200がヤフオクに10個近く出品されてて、どんどん落札されてるね。
55,000-60,000円で

176:anonymous
10/05/16 03:38:02
山葉スレでも、どこかが倒産したのか?とか書かれてるよ
真相は、出品者に聞くしか無いんだけど
およそ半額で入手出来るなら、誰だって入札するわな

177:anonymous
10/05/16 03:47:37
>>176
そうなんか~。
情報39.
数年前のオレなら買ってたんだけどねー。
今は懐が・・・。
10,000円くらいのIX2015ですら考えちゃう。・゚・(ノД`)・゚・

178:anonymous@218-223-28-131.bitcat.net
10/05/16 12:13:16
廃盤モデルくらい最終ファームを無償公開すればいいのに
気がきかねーな、日電

179:anonymous
10/05/16 12:27:58
ファーム更新ある&ギザポート付いてる以外でのRTXのよさがわからない

180:anonymous
10/05/16 17:10:21
>>178
超同意

181:anonymouse
10/05/16 17:49:37
>>179
RTX1200の事言ってるのか?
ってか,その2点+Gigabit対応品の中でコスパが高いのが良いんだと思うけど。他にお勧めがあったら書いてみ?

182:anony
10/05/16 23:15:06
ヤマハの利点はざっと思いついただけで、

1.非固定IPアドレスのDDNSでもIPSECが張れる。
2.SIP-NATが無料で使える。
3.DDNSがルータで利用できる。
4.Twice NATが使える。

ぐらいかな。まあSOHOとか小規模の整理されてない雑多なネットワーク環境向けって印象。

183:sage
10/05/16 23:31:57
>>181
このスレでも、IX2025クルー!!って時に「絶対Giga積んでくる!これでRTXに勝つる!
つーかGiga積まないとかありえない常考」とか散々言われてて、蓋を開けたら
アレだったわけでw

Gigaのポートが有るか無いかは大きい。

184:anonymous
10/05/17 00:10:56
法に抵触しない範囲で、電子パーツ取り替えてIX2015をGiga化しちゃうような人はおらんかw

185:anonymous
10/05/17 00:17:05
IX2010にIX3010用2GE-Tオプションを付ける方がいいような気がする
4FE SW-HUBオプションと寸法同じだし

186:anonymous
10/05/17 00:43:30
>>185
IX2010に2GE-Tは付かない

187:anonymous
10/05/17 00:48:45
>>186
お前周りからよく冗談の分からない奴とか言われない?w

188:anonymous
10/05/17 01:05:25
ということにしたいのですね。

189:anonymous
10/05/17 01:16:45
そういうことにしたいもなにも
www.nec.co.jp/ixseries/ix2k3k/Spec/hw-spec.html#option
にはっきりと対応装置IX3010のみって書いてあるし
スペック表すら見ないで書き込んでるとでも思ってんの?w

190:anonymous
10/05/17 01:23:27
>>186
>>188
地雷踏むなよ

191:anonymous
10/05/17 01:36:53
全ポートGiga化だと仮定して、そして自宅ユースとした場合、それを十分に活用出来るISPってどれくらいあるんだろう?
NTTのフレッツは、NGN利用のネクスト(200Mbps)。
KDDIは1GbpsだけどMAC制限があるからノーカウント。

他はどこがある?


192:anon
10/05/17 01:54:58
>>188
馬鹿は相手にしない。鉄則。

193:anony
10/05/17 04:37:29
通常利用でRTXの良いところは、UPnPが使えることだと思う

194:an
10/05/17 07:01:59
新型でてみたらRTXのOEMだったりして・・・

195:anan
10/05/17 13:34:46
>>191
URLリンク(www.thn.ne.jp)

普通に田舎のCATVの光が200Mbpsだ罠。

196:anonymous
10/05/17 14:51:06
>>195
それは初耳。
CATV優秀だな。

197:anonymous@s195252.ppp.asahi-net.or.jp
10/05/17 14:59:41
ISPの価値は、IXとの回線帯域とその利用率、海外とのピアリング数といってみる。
フレッツ網の場合は上記に追加して、フレッツ網との接続回線帯域とその利用率。

アクセス網の回線帯域がいくらGbpsだとしても、同一ISP内IPsecVPN接続ぐらい
しか恩恵はないんじゃないの?


198:anonymous
10/05/17 15:25:18
そこまで気にするのは、それ相応の知識とポシリーを持った一部マニアで、
新しいパーツがリリースされる度にベンチマークして、グラフ眺めてニヤニヤしてるのと変わんない
適当なスピードテストサイトを試して、公称に近い数字が出てくれれば満足というのも少なからずいる
自宅利用でVPNの速度が出るのは、それだけを取ってみても御の字

199:anan
10/05/17 17:43:19
>>197
URLリンク(internet.watch.impress.co.jp)

俺は、TOKAIの回し者じゃなくてユーザだけど、
加入者少なめでスッカスカだから光は、爆速よ。
規制もないし。

ダークファイバレンタルじゃなくて独自回線だから
昔のテプコ光状態。

200:anonymous
10/05/17 19:20:23
都会はいいの~
うちの地区はADSLしかなかった orz

201:anonymous
10/05/17 23:01:17
数年前ならまだしもいまどきどんな田舎だよ

202:anonymous
10/05/18 01:09:19
>>191
個人向け1Gbpsの先鞭をつけたのはケイ・オプティコムだったはず


203:root
10/05/18 09:26:02
光ネクストも下りだけ200Mじゃなかったっけか

204:anonymous
10/05/18 10:55:26
>>203
東のファミリーなんかはそう。
西は上下200。
東でもビジネスなら上下ギガ

205:root
10/05/18 12:10:17
西は上下200なのか
関西はeoもあるし羨ましいわ

206:anonymous
10/05/18 17:07:37
対応外地域のオレに死角はありまくりだった。
~Fin.~

207:anonymous
10/05/18 17:16:17
URLリンク(page10.auctions.yahoo.co.jp)
このわけありって何だろう。

208:anonymous
10/05/18 17:59:05
キズ、小さな凹、シール痕等というのがそれじゃないかな?
人によって書き方がまちまちではっきりとしないから、質問するしかないな

小さいとは言え、筐体が凹むというのは相当なことだと思うけど

209:anonymous
10/05/18 20:49:41
>>208
そっかー。
代わりに聞いてみて!(・∀・)

210:anonymous
10/05/18 20:59:45
えー・・・

211:anonymous
10/05/20 11:15:08
じゃあ、オレが

212:anonymous
10/05/20 12:28:50
買い手が付かないね。
高くは無いけど要らないからな。
イーバンクなんてもうとっくに無くなった銀行を振り込み口座にしてるせいかも。
この非常に悪い評価は何なんだろうな?2件とも何が悪いか書いていない。

213:181
10/05/21 07:02:16
超今更なんだけどさ。
>>183
お前,誰に対してレスしてんの?

214:anon
10/05/21 14:54:55
お前,誰に向かって口きいてんだ?んぁ?リアルで頃すぞ?

215:anonymous
10/05/21 17:50:51
あーあ
やっちゃったね

216:anonymous
10/05/21 18:51:04
24だな
ご愁傷さま


217:anonymous
10/05/21 21:53:37
ヤフオクにUNIVERGEのIX2015が安めでまた出てきたから買おうかな。


218:anonymouse
10/05/22 01:09:42
わざわざ報告せんでよろしい。買うなら黙って買えよ。

219:anonymous
10/05/22 05:39:51
報告したら、みんながかって値上がりするではないか

220:anonymous
10/05/22 13:29:55
出品者乙

221:anoministrator
10/05/29 00:51:07
誰かldcでいいからIX2005の8.3.xの最新くれないかなぁ
購入元に問い合わせたら8.4.xしかだめですって言われた…
まぁ、べつに8.3じゃないといけない理由もなくて洩れががっかりしただけなんだけどな。


222:anonymous
10/05/29 01:02:21
8.3と8.4じゃマイナーバージョンが違うから、rapじゃないと駄目だと思うよ。
ちゃんと新規で購入して8.4が入ってるんだったら、それでいいと思うけどね。

ちなみに、Nはldcの配布やめたみたい。


223:anoministrator
10/05/29 01:34:29
いや大丈夫
8.3.xもあるにはあるんだけど、多分ふるいの。
何バージョンがあるのかよくわからんから、本当は古いのかどうかもわからん;;;
正規なので問い合わせれば入手できるけど、問い合わせないとアップしてもPushではやってこない。
そうこうしてるうちにいつの間にか8.4.xに進化してたょ。
ココ見て新しいのが出たっぽいなー、と思ったら問い合わせてたんだけど、最近クレクレ嫌いのネタっぽいの多くてタイミング掴みそこねた。



224:anonymous
10/05/29 01:35:51
IXのWebコンソールってまじつかえねーな。
この程度しかWebから設定できないならこの機能は不要だな。


225:anonymous
10/05/29 01:46:38
>>223
IX2005の8.3.x系で古いリビジョンは、.8 .13 .39 .44 だね。
それよりも大きければ最新と思っていいよ。

226:anoministrator
10/05/29 06:18:01
>>225
39 だよ
(・ω・)ショボーン

227:anonymous
10/05/29 06:27:11
>>226
8.3.x系では2世代ほど前だね、残念ながら。
でも8.4.x系が入る新型の筐体を持ってるのは羨ましいよ。


228:anonymous
10/05/29 09:46:14
誰か~。
民生用のブロードバンドルータ(以下BBR)の基本動作と同じになるようなconfigを書いて~。(・ω・`)

・IX2015
 本体のIPアドレス: 192.168.1.1、WEBコンソール有効
 ユーザー: ID:admin PW:password
・Ethernet
 FE0/0: 光終端装置に接続、BBRでいうWANポートとして使用。
 FE0/1: 使用しない。 ※使用目的検討中
 FE1/0: 192.168.1.0/24、BBRでいうLANポートとして使用、DHCP無効。
 FE1/0.1: PPPoE(NTT東日本 Bフレッツ、ID:cat@example.com PW:mikeneko、自動接続)
 FE1/0.2: PPPoE(NTT東日本 フレッツ・スクウェア、ID:guest@flets PW:guest、手動接続)
・フィルタ: インバウンド接続は基本全拒否。(ACK返さない)
・NAPT: ISPから取得したIP:3389(ポート) → 192.168.1.201:3386(ポート) へ転送。
・IPv6パススルー: 有効

(*'ω')<どうかよろしくお願いします。

229:anoministrator
10/05/29 10:29:55
>>227
>でも8.4.x系が入る新型の筐体を持ってるのは羨ましいよ。

まったくファーム厨な訳で。
でもまぁ、最終buildというのは欲しくなるのよ。
それだけのボヤキでした。

230:anonymous
10/05/29 12:14:38
>>229
8.3.xは最終buildかどうかはまだ分からないよ。
7.5.xもまだリリースされ続けてる。
ただ、販売代理店の気持ちも理解できなくはないけどね。
新バージョンが前バージョンのbugfix+新機能である以上、あえて古いファームを提供する理由は無いだろうし。

ちょっと強引に交渉してみたら?w


231:anonymous
10/05/29 14:19:34
URLリンク(page8.auctions.yahoo.co.jp)
URLリンク(page6.auctions.yahoo.co.jp)
URLリンク(page7.auctions.yahoo.co.jp)
URLリンク(openuser.auctions.yahoo.co.jp)
よろしく

232:anonymous@i60-42-213-237.s02.a023.ap.plala.or.jp
10/05/29 20:32:07
2015円以下が適正。

233:anoministrator
10/05/29 21:31:36
>>230
>7.5.xもまだ

え!?
そ、そうなの?
全然しらんかった;;;
そんな前のバージョンにさかのぼって修正されてるのか。
いちいちファームファームしてたらキリないんだね…
ファーム厨は卒業するよ(ノ_・、)先生ありがとう
ちなみに7.5は最初に買ったIXが7.5だった。

今更だけど、バージョン挙げてくれた
>>225
>>227
もありがとう!
2世代前ってわかってよかった。

234:anonymous
10/05/29 21:32:39 NC9wcRrf
ユニバージュ!(・∀・)

235:anonymous
10/05/29 21:53:36
>>233

>>222
>>225
>>227
>>230
は全部同じ俺w

7.5.xの最新版は、8.3.xの最新版よりも更新日が後なんだ。
でも、そろそろ打ち止めだと思う。
IX2025やIX3110向けには提供されていないから。

236:228@anonymous
10/05/29 23:50:58
すみません~。
以下の部分だけ教えてもらえますか!
・フィルタ: インバウンド接続は基本全拒否。(ACK返さない
 ※FE 0/0.1→FE 0/1.0
よろしくお願いします。


237:anonymous
10/05/29 23:55:26
>>236
>>113を見て分からなければ、YAMAHAのWebサイトを見ながらコマンドを置き換えてみな

238:228@anonymous
10/05/30 00:02:33
>>237
レスありがと。
(´・ω・)ノもっとチャレンジして出直してきます!

239:anonymous
10/05/30 13:37:57
オク、また値が上がってきたのか。以前2000円以下だったのでうっかり20台
くらい予備を買っちゃったから、4000円くらいで出してみようかな。

240:anonymous
10/05/30 15:45:56
>>239
転売屋タヒね

241:anon
10/05/30 16:11:56
タヒね?
日本語でお願いします

242:anonymouse
10/05/30 17:20:16
氏ね じゃね?

243:(´・ω・)ノ
10/05/30 22:30:09
>>239
100Mオーバー回線が普通でそこそこ高性能ルーター付きもしもしモデムをNTTが配っているから、
4000円で100Mルーターじゃ最新ファームにしないともうなかなか売れないよ

244:anonymous
10/05/30 23:11:34
じゃ君はNTTの使えばいいよ

245:anonymouse
10/05/31 00:03:42
単純なスループットだけで見分けがつくなら苦労しないんだけどな
NTTのが高性能と思うならそれで十分ってことだからixは必要ないよね

246:ぴころ ◆lHG3Yzo0a6
10/05/31 00:58:10
このスレ住人の多くもさ、光導入でNTTルーター手元にあるの多いんだろ
特殊なことは家庭用だから出来ないのはしょうがないとして、
使った感じはどうなんだ? 鯖用に使うとよく落ちるのかな
お前らはixにどんな性能を求めている?

247:anoministrator
10/05/31 00:58:26
>>235
>は全部同じ俺w

あやっぱりでしたかw
どうもでした。

>7.5.xの最新版は、8.3.xの最新版よりも更新日が後なんだ。

うーむ、そんな細かい更新情報、担当が着くような大口契約とかあると入るのかな。
まぁ、てっきり最終版だと思ってたのが全然浅過ぎで、入ってみたら底無しに深かったみたいな感じで手に負えなそう;;;
なんで今まで通り時々アクセスしてご当時最新版をゲットで十分満足です。

>IX2025やIX3110向けには提供されていないから。

しばらくは縁がなさそう…
スレチな気がするけど、1000base VPNより海外拠点とのVPNとかに悩まされそう;;;
暗号装置の海外持ち出しは個人用途や1台だけでも何か手続きいるよね… ややこしそう。
海外でも入手できるcisc○とかと繋いだ方が早い気がするけど、実際どうなんだろうなぁ(*_*)


248:anonymous
10/05/31 02:02:20
>>246
家庭用は特殊な事はおろか基本的な事も出来ないだろ…
初心者向けの機能(UPnP等)は豊富だけどね

IXは
安い
某メーカの現行最上位ルータより負荷に強い
宅鯖定番のルータはこれ(かPCルータ)
余計な機能が付いてない
キャッシュが強力
温度のモニタリング
ファームの更新が未だに続いてる
etc...

基本的な事を訳のわからん制約無しで出来るのが一番求める事
例えばセッション数を1024だの4096だので制限したりとか論外

IXで満足出来ないケース(高度なSPI等)ならPCルータ使えばいいよ

249:anonymous
10/05/31 02:14:11
家庭用のBBルータはWebサイトを見に行くための物だからな。
すごく大雑把に言えば、サーバから情報を引っ張ってくるだけのほぼダウンロード専用機。
サーバを運用するとなると、立場が逆になってアップロードが大幅に増える。
機器への負荷は 

アップロード>ダウンロード

だから、出来るだけタフガイなルータが必要なんだよな。

250:anonymous
10/05/31 07:15:51
ダウンロード専用なのにISPとIXを二重化して使用している俺はただの趣味...

251:NヨC
10/05/31 10:33:04
一度使ったメモリを開放する事無く、メモリが足りなくなったら勝手に再起動
するようなバグ^H^H仕様のルータを

>某メーカの現行最上位ルータより負荷に強い

とか何の冗談wwww
あと

>宅鯖定番のルータはこれ

どう考えても定番はRTXです本当に捏造ありがとう御座いましたwww

>キャッシュが強力

その代わりメモリ不足になって勝手に再起動しますがwww

>ファームの更新が未だに続いてる

いつまで経ってもバグが取りきれませんwwww
しかもファームは一般ユーザには一切公開しませんwww


252:anonymouse
10/05/31 10:42:52
ixはわりと定番な方と思うけどな。
あと、RTXは範囲広すぎ。
RTX1500ならなかなか良いけど、RTX1100は微妙・・・。
RTX1200は良く知らないけど、RTX1500よりショートパケットに弱いみたいだし。
まぁ使い方次第なんだけどね。

253:anonymouse
10/05/31 10:46:06
>>251
おいおい、そんな大量に草生やして誰が後始末するってんだ。

254:anonymouse
10/05/31 10:47:14
IXとRTXどっちも使ってる俺に隙は無かった。

255:anonymous
10/05/31 11:56:21
宅鯖は知らんが、中小の企業での使用率で言えば間違いなくRTX。
つーか、客先だとYかFかCしか見たこと無い。。。

そんな俺の自社で使ってるのは以外にもIX2015。

256:anonymous
10/05/31 12:15:38
>>253
放っておけ
ただの構ってちゃんだから

257:NヨC
10/05/31 14:35:25
>>256
ということにしたいのですねw
わかりますわかります

258:anonymous
10/05/31 15:16:12
>>247
そうだね。
基本的に 最新こそが最強 でいいと思うよ。

259:anonymous@softbank218183041044.bbtec.net
10/05/31 17:34:53 z2C2QBow
小沢一郎幹事長、ソウルの国民大学で講演 『 日本人は寄生虫、害虫 』

民主党の小沢一郎幹事長は12日、ソウルの国民大学で講演後、約250人の学生と
日本人について語り合った。学生から、多くの日本人が学校にも通わず仕事にも就かない
ニートについて聞かれ、小沢氏は、「日本のニートの現状はみんな親が悪い。日本人の親は
学校にも行かないで仕事もしないぶらぶら遊んでいる子供を食べさせている」と持論を披露。
小沢氏は、「学校にも行かない無職の子どもを責める前に日本人の親達は子供を甘やかして
いる。親に民族教育をしっかりしないといけない」と主張した。
「日本人の若者は漠然と他人に寄生し、寄生虫として生きているとんでもない害虫だ」とした。
「もともと日本人の親達もどうかしている。日本人は動物にも劣る民族といっても過言ではない」
とした。「日本人はもともと民度が劣るから、君達韓国人のような優秀な民族の血を日本人に
入れない限り、他人やアジアに寄生して生きる害虫日本人が増えるだけだ」とした。
日本の古代歴史についても、「韓半島南部の権力者が日本の国家を樹立したもの」と述べた。
―( ソウル発外電 2009/12/13)

【トンデモ史観】小沢一郎・韓国講演
URLリンク(www.youtube.com)
【売国】小沢一郎幹事長言行録
URLリンク(www.youtube.com)


260:anonymous
10/05/31 18:25:45
>>259
過疎板まで政治コピペすんな糞奈良

RTX1200は2万上限だったっけか

261:anonymous
10/05/31 18:56:45
たしかそんな感じ。
で、パケット処理能力は↓
URLリンク(www.rtpro.yamaha.co.jp)

YAMAHAスレに誘導しても良かったんだけどdat落ちしたので。
RTX1500強い。

262:anonymous
10/05/31 20:44:21
双方向
RTX1500 238kpps
IX2025 122.7kpps
RTX1200 120kpps
RTX1100 52kpps
IX2005 48.9kpps

263:anonymous
10/05/31 20:54:51
IX2015を置くような環境でDNSリゾルバキャッシュをルータにさせるようなこと無いもんなあ…
このメモリリーク問題は8.4では治ったのかな

264:user:
10/05/31 21:09:05
>>262
IX2015はどれぐらい?
新しいIX2025と同等ってことはないよな

265:anonymous
10/05/31 21:10:28
8.4系のリリースノート見たらそれっぽい記述があった
でも不具合修正じゃなくて、仕様改善/変更のカテゴリ

しかし、2015には入らない・・・

266:hoge
10/05/31 22:49:44
>>264
ヤフオクで出品しているやつのページに2015のグラフがあるから、それと
www.nec.co.jp/ixseries/ix2k3k/Performance/index.html
のグラフを比較してみればいいよ。
単位はMbpsだけど。

267:anonymous
10/05/31 23:58:41
とりあえずIX2015のコスパはパネェって事がわかったw

268:anonymous
10/06/01 00:04:28
※ただし、リース落ちに限る

269:password:
10/06/01 22:37:28
>>266
>ヤフオクで出品しているやつのページに2015のグラフがあるから
よくオク観察してるんだな

パケット処理能力が高いってことは重鯖にむくってこと?
重鯖に向くかどうかを比較する時ルーターのどの性能を見ればいいの?
パケット処理能力、NATテーブル数....いろいろあるけどどれ

RTX1500,IX2025のパケット処理能力、NATテーブル数なんだけど
RTX1500 238kpps 4096
IX2025 122.7kpps 64k
この場合どっちが重鯖向け

270:anonymous
10/06/01 23:11:48
NATが65535って言っても、”パラメータ上設定可能”と”実際にさばける”はイコールじゃないからな・・・
あくまで個人的な意見だけど、俺ならRTX1500の処理能力を買うかな

271:anonymous
10/06/02 02:59:38
俺の経験だと20000セッションくらいは処理落ち無いと思うから結構いい
RTX1100は3000超えると、ゲーム鯖のラグが酷くなる。

272:anonymous
10/06/02 03:04:29
>>271
比較対象はRTX1500だそうだ

273:anonymous
10/06/02 03:10:25
1500と1200はしらんなぁ
てか1500は高すぎ。同じ値段なら1500がほしいけどな

274:anonymous
10/06/02 03:16:48
>>271
つまり>>262の値を見ても、1200なら結構いい勝負になりそうなわけだ。
ちょうどNATの限界値も2万だし。

275:anonymous
10/06/02 16:41:12
IX2015げっと!

IDENT(113)にACK?を返さないようにするにはどうすればいいのでしょうか?
今は、>>113-114の設定だけです。

これと、
ip access-list ident deny tcp src any sport any dest any dport eq 113

これを追加してもポートチェック*1でステルス状態になりません。(´・ω・`)
interface FastEthernet0/0.0
ip filter ident 15 in


*1 URLリンク(www.grc.com)

276:sage
10/06/02 18:12:55
IX2005のVPN設定にある「IPトンネル接続」ってPPTPの事?
これでYAMAHAのRTとVPNできるの?

277:anonymous
10/06/02 18:18:58
残念ながら、IXルータはPPTP非搭載。
VPNするならIPsecになる。
まずは、機能説明書をご覧あれ。

URLリンク(www.nec.co.jp)

278:anonymous
10/06/02 19:10:24
>>275
INDENTは、Dropすると場合によっては、不具合でるけど
良いのか?

その辺分かってないなら、気にせずそのままにしとくべき。


279:275
10/06/02 19:28:29
>>278
レスありがとうございます。

破棄した際の事は承知しています。
ですので、よろしければ設定をご教示いただければ助かります。

よろしくお願いします。


280:anonymous
10/06/02 21:06:34
>>275
それだとstealthにはならんね。
>>113-114があらゆる意味でヒントになってる。
つか、書いたの俺だけどw
Windows使ってる分にはidentはまず使用されないはずだから、基本的には>>278に賛成。



281:275
10/06/02 21:25:07
>>280
>>113-114を見ても分からないから質問しているので、>>113-114がヒントと言われても・・・。


引き続き、>>275についてご存知の方いましたら、よろしくお願いします。


282:anonymous
10/06/02 21:38:21
syn+ackを返したくないのに in ってのも不思議な話だな

283:280
10/06/02 22:16:35
>>281
う~ん、いきなり答えを教えてしまうと勉強にならないんだよな・・・
いい機会だと思うので、冷静に考えて欲しい。

では、もう少し突っ込んでみよう。
こちら側に入ってくる通信については all-deny で弾いている。
あとはこちら(WAN I/F)から外に出ないようにすれば良いので、
blaster-block と netbios-block はそのようにしているはず。
そうすれば、LAN内は自由に出来るからね。

identも同じ考え方で行けるんだけど・・・



284:275
10/06/02 22:45:32
>>283
失礼ですが、質問に対し回答したくないのであれば結構です。

285:275
10/06/02 22:59:52
>>283
これだけだと何なので・・・。

>いきなり答えを教えてしまうと
との事ですが、私の場合は回答を先に見てから、なぜそうなるか考えるタイプなので。


あと、同じ考えという事でしたので、下の様にアクセスリストの名前は変えずにポートだけ
変えてみましたが、Closed表示のままでした。
ip access-list netbios-block deny ip src any sport eq 113 dest any dport any
ip access-list netbios-block deny ip src any sport any dest any dport eq 113
ip access-list netbios-block deny tcp src any sport eq 113 dest any dport any
ip access-list netbios-block deny tcp src any sport any dest any dport eq 113
ip access-list netbios-block deny udp src any sport eq 113 dest any dport any
ip access-list netbios-block deny udp src any sport any dest any dport eq 113



286:280
10/06/02 23:05:44
これでどう?

# ident
ip access-list ident-block deny tcp src any sport eq 113 dest any dport any
ip access-list ident-block deny tcp src any sport any dest any dport eq 113
ip access-list ident-block deny udp src any sport eq 113 dest any dport any
ip access-list ident-block deny udp src any sport any dest any dport eq 113
# 適用
interface WAN側インタフェース
ip filter ident-block 15 out ※何番でもいいけど、ダイナミックフィルターよりも先に書く

私はこれでStealthになったよ。

287:sage
10/06/02 23:24:18
>>284-285
ひでぇ言い方
お前のタイプなんてどうでもいいけどさ
これで文句言おうもんならゆとり確定だな

288:anonymous
10/06/02 23:55:05
これで>>275のip filterは100%他人任せになったわけか

289:275
10/06/03 00:14:22
>>286
超ごめんなさい。(´・ω・`)

それでも出来ない・・・と思ったら、FastEthernet0/0.1じゃなくて
FastEthernet0/0.0の方にip filter~を書き込んでいました。

さすがにもうレスは来ないだろうと思っていたら来ていて関心しましたよ!
こんな人間に対してこの流れにも関わらず、最後まで付き合ってくれてありがとう!
ほんと感謝ですよ!(`・ω・´)ゝ
はじめて2chでこういった対応してもらったよ!
心に余裕のある人(大人)なんだろうなぁ。
そんな>>286氏に最敬礼!


>>288
機能説明書、取扱説明書、コマンドリファレンス、設定事例集、
URLリンク(www).nec.co.jp/ixseries/ix2k3k/Support/
とか見て、低脳な自分は自分なりにやってんだよ。ヽ(`Д´)ノ
>>285>>283で言われる前に試していたんだよ。ヽ(`Д´)ノ
ただ、.0と.1を間違って基本の方に書いちゃったんだよ。ヽ(`Д´)ノ

290:280
10/06/03 00:17:55
>>289
良かったです。
他の人に聞かれたら、根気よく教えてあげてね。

291:root
10/06/03 00:20:51
教えて貰ったんだからお礼いっとけよw

292:anonymous
10/06/03 00:21:14
アドレスはプロクシにアクセスできなくて、外からもお願いしてlogにもないから
明け方に、気がついたことがあった

293:anonymous
10/06/03 01:01:37
>>291
なにも教えないけど、そういうレスだけはしっかりするw

294:275
10/06/03 01:04:29
>>290
(´・ω・)ノハイ


>>291
お礼は体(臓器)で・・・。


今度はポートが空かない・・・と思ったら、permitでなくてdenyに・・・。
もうIX2015は手放したほうがいいかな・・・。
WAN側のMACアドレス変更方法は見つけられないし・・・。

295:anonymous
10/06/03 02:34:21
なぁ
>>113
># 全部通す ※ダイナミックフィルターで使う
>ip access-list all-permit permit ip src any dest any

これはなんだ?
ちゃんとしたセキュリティ対策をするならこんな事せずに個別にあけないか?
どうして全部開けて個別に閉じるというポリシーなのかがわけわからん。

もしかしてマジレスしたらいけなかった?

296:anonymous
10/06/03 03:07:35
お前さんが考えている”ちゃんとしたセキュリティ”とやらが”個別にポートを開ける”ことを指すなら、
それはそれで正しいんじゃね?
第一それは>>113が書いている通り、家庭向けのBBルータと同じように使いたいという話の流れに
合わせて、山葉のコピーで書かれたに過ぎない
>>113が間違ってるなら、山葉も間違ってることになると思う


297:sage
10/06/03 03:24:34
>>295
>>113>>97を見ながら作ったもの・・・・・・って書いてあるじゃん。
通ぶったことを言いたいなら、俺ならこうするって実際にここに書けば?

298:anonymous
10/06/03 03:27:28
>>295
アウトバウンド接続を全許可するために使うダイナミックフィルタ用のアクセスリストなだけじゃん?
これしておかないとWebすら見れないわけで。
インバウンド接続に対して、全部開けて個別に閉じるってのなら話は別だけど。
それとも、もっと細かくダイナミックフィルタのルールを指定しろって事?


299:anonymous
10/06/03 03:36:34
>>295
もっと簡単に言うと、その 全部通す って書いてある部分は、
家庭向けのブロードバンドルータで言うポート開放の事ではないけど、
そこを勘違いしていない?

300:anonymous
10/06/03 04:34:26
2時間の間に大人気だな

301:anonymous
10/06/03 12:13:37
Router(config)# ip access-list dynamic d-list1 http src any dest any
Router(config)# ip access-list dynamic d-list1 dns src any dest any
Router(config)# ip access-list pop3 permit tcp src any dest any dport eq 110
Router(config)# ip access-list dynamic d-list1 access pop3
Router(config)# ip access-list all-block deny ip src any dest any
Router(config)# ip ufs-cache enable

Router(config)# interface FastEthernet0/0.0
Router(config-FastEthernet0/0.0)# ip filter d-list1 1 out
Router(config-FastEthernet0/0.0)# ip filter all-block 1 in

これでいいよ

302:sage
10/06/03 12:43:23
設定事例集の丸写しでSMTPをPOP3に変えただけで自慢されてもね
暗黙のdenyがあるんだけど、SSLとかどうすんの?
POP3しか許可してないから、メール送信出来ないし

まとめると、WebブラウザからでもメールクライアントからでもGmailが使えないってことになるな

303:anonymous
10/06/03 12:56:21
>>301
ワロタw
流石です先生w


304:anonymous
10/06/03 13:18:09
皮肉で書いただけなんだけどな
もうお前らWebとメール受信できればいいだろ

305:anonymous
10/06/03 13:42:26
そういうことにしておいてやるよ、ネット弁慶w
千本のブーメランが集まるまで頑張れよw

306:sage
10/06/03 14:09:50
ばかばっか

307:sage
10/06/03 14:36:05
脊髄反射はよくないって典型例だな

308:anonymous
10/06/03 15:40:37
>>296
もし仕事でこんな設定してる奴がいたらはっきり言って首です。
つまりセキュリティ対策としてこの設定は間違ってるという事です。

>>297
例を出せ云々言ってるが既に書いてるだろう。
個別に許可すると。
つまり許可する物だけ通すって意味だ。
そしてどのサービスを使うかによって許可する物が変わってくるのに汎用的な物はない。(例えWebを見るだけであったとしてもだ配下のOSによって設定が変わってくる)

>>298
アウトバウンドを全て許可してる事に疑問を持たないわけ?
こうしないとWebすらみえないって、そういう冗談はいらん。

>>299
話にならん。

309:anonymous
10/06/03 15:40:43
日本郵政さんix2025大量放出お願いします
そろそろ取り替えた方がよろしいのではないでしょうか?

310:anonymous
10/06/03 15:40:44
フルボッコだな
皮肉の使い方も間違ってるし


311:anonymous
10/06/03 15:44:47
>>301
おまえ、誰だよ。
そしてそれも論外な。
配下のOS別で使われるポートレンジを把握してないのが丸わかり。
deny部分も適当でロギングの機能が必要な時にうまくいかせない。

>>302
あんたの指摘も的外れ。
SSLがどうとかいうならhttpsあけろよ。
gmailのwebアクセスでどのポートが使われるかも把握してない。

はぁ、これが通信技術板の今のレベルかぁ。
何かがっかりだよ。
ゼロディ受けて被害が大きくなるのがよくわかるわ。
こんな運用してたらそりゃ最悪な事態になるわな。

312:anonymous
10/06/03 15:46:24
IDでないからやりたい放題
書いてる人全員違うだろこれw

313:anonymous
10/06/03 15:47:24
顔真っ赤所

314:anonymous
10/06/03 15:49:20
>>308
> もし仕事でこんな設定してる奴がいたらはっきり言って首です。

なら、山葉も間違ってるってことだな
やばい、山葉の中の人やスレの連中に教えてあげなくちゃw

315:anonymous
10/06/03 15:52:16
まずお前が例を書けよ
批判するだけなら小学生でもできるわ

316:anonymous
10/06/03 15:52:39
>>314
何度も言わせるな。
セキュリティを考えた運用であの設定は間違ってるんだよ。
どうしてもあの設定が必要な時は配下に複数台(仮想含む)の鯖があり
それが短いスパンで変動しなおかつFWの管理者が常駐してない時のみあの設定が使われる。

といっても、俺はあの設定は許容できないけどね。

317:anonymous
10/06/03 15:55:14
お前が考える設定例をここに書けよ
批判するだけなら誰にでもできるんだよ低脳が

318:anonymous
10/06/03 15:57:01
がんばれよ弁慶

319:anonymous
10/06/03 15:58:17
はぁ、全くこいつ等はどうしようもねぇな。
汎用的な物はないと言ってるのに(というかFWは環境依存することもわかってない…)
煽れば都合の良いもんが出てくると思ってんのか?
10年以上も前の某裏情報(笑)を実践してるんじゃねぇよ…。

320:anonymous@s195252.ppp.asahi-net.or.jp
10/06/03 16:21:58
そもそも、FWはセキュリティ対策の一部だろ。FWをすべて済まそうというのが間違いじゃねぇ。
アウト側でも個別にポートを開けるというポリシーを採用しているところがあるのは知っているし、
そういう設定を顧客の要求でしたこともある。
ただ、そういう顧客は専属の管理者・チームがいるか、その部分をアウトソーシングしているような
運用保守費用にもお金をかけられる超大手企業様か官公庁様、もしくはDCに設置している
サーバファームぐらいだよ。
上場企業でも、大抵はインターネットGWであるFWとウィルス対策ソフトに付属しているPFWとの
ハイブリッドで対応することが多いけどな。その方がコストが安くなる。





321:anonymous
10/06/03 16:22:10
ここまで俺の自演でした
ごめんなさい

322:anonymous
10/06/03 16:23:47
弁慶20分で動悸息切れ
Google Chromeスレに出た自称高スキルとそっくり

323:anonymous
10/06/03 18:21:31
2ch全板IDでるようにならねえかなあ・・・

324:anonymous
10/06/03 18:48:59
書き込み増えてると思ったら火病かよ・・・

325:anonymous
10/06/03 21:20:56
2ch全板でIP出るようにしてほしい。

326:anonymous
10/06/03 21:56:51
>>320
FWで全て済ませるってなんじゃそりゃ。
何をどう取ればそう考えるのやら。
繋がればいいとか思ってる人はどうでもいいよ。
ただセキュリティ語るなら最低限の事はしろって事。

たぶんあんたはそういう言い訳してる時点でセキュリティ意識もそれに対する防止策も全てにおいて知識が足りない事だろう。
大手のサービス見て”セキュリティ万全なんだろうな”と呟く一般ユーザと何も変わらない。

出来ないなら出来ないなりに詭弁で繕うとしないでくれ。
見てて恥ずかしいから。

327:anonymous
10/06/03 22:25:53
IX2015ってMACアドレスの変更できないの!?

328:anonymous
10/06/03 22:52:20
>>327
少なくとも公開されている命令にはそういうものは無い

「できるできる諦めるながんばれがんばれ(文意概略)」と煽っていたやつが2スレくらい前にいたが、
「じゃあどうやるんだよコマンド出して見せろよ」とスレ住人に言われたら
「お前らなんかに教えるもんかばーかばーかおたんちん(文意概略)」
といって消えていった


329:anonymous
10/06/03 23:20:43
アウトバウンドもしっかりFWかけろやってのは確かに間違っちゃいないと思うが、
市販BBルーターレベルでって言われりゃ、誰だって>113程度の設定になるっつーの。
そういう意味で>113は必要十分なレベルじゃね?

そもそも、そのレベルの質問者に、そんながちがちのフィルター設定させて、
つながらねーソフト有るんだけどって、その度言われて、誰がサポートするんだよw
俺は勘弁なw

それでも気に入らねーってなら、一人で熱くならずに、
なんでそういう設定が必要なのか、
一から説明して理解させた上で、設定させろ。な?



330:anonymous
10/06/03 23:26:39
>>296
>家庭向けのBBルータと同じように使いたいという
これを、ネットエンジニアの経験者入社試験なんかに自分で一般的家庭使用を考え
BBルーターを設定汁と出したら面白いかもな。

詳細仕様を元に設定をする(学卒新人入社試験)、ユーザーが具体的(詳細)仕様を出せない/
どんな設定が良いのかよく分らないからこちらでポリシー・仕様考え設定する
(経験者=エンジニア入社試験)。
俺はソフト屋だから仕様を元にルーター設定をプロ品質ですら書けないが
(ソフト屋で言うならなんとなく文法をある程度知っている程度)、でも、ネット屋なら後者の
エンジニア入社試験レベルが 余裕で出来るよな

331:anonymous
10/06/03 23:48:25
手動でPPPoE(FE0/0.1)のセッションを接続・切断するコマンドが分からん。
誰かおせーて。・゚・(ノД`)・゚・

332:ハゲ
10/06/04 00:31:54
shutdownでなくて?

333:anonymous
10/06/04 00:34:15
>>330

> 一般的家庭使用を考えBBルーターを設定汁

いや、自宅で業務用ルータ利用なんて時点で、世間ではまだまだ珍しい目で見られるからw
自作PCと一緒で、仕事で散々似たようなことやってるのに家でまでこんなことやりたくないって
理由でメーカーPC使う人がいるのと同じように、NEでも家では普通に牛とかAtemとか使用して
いる人もいるよ。
家庭持ちだと余計に。

334:anonymous
10/06/04 00:35:08
>>331
コマンドリファレンスのページ2-1を見てみ?
2種類書いてあるから、そのどちらか、もしくはどちらでもいいか

335:anonymous@PPPnf289.tokyo-ip.dti.ne.jp
10/06/04 01:37:39
>>333
実際に自宅のを汁じゃなく、試験として一般家庭用に設定汁
一般家庭用だからネット屋の自宅でなく、ネット分らん奴しかいないような家庭ってなるよな

家庭で業務ルーター使うなんてほとんどないよな(多くの奴は恐らくはじめての案件)、
でも、自宅でネットしている(ほとんどしているだろ)ならどのように家庭用なら
すべきかって分るよな。
これでなんだよこれみたいなの回答出てくると、ネット屋としてどうなんだ
業務向けのがちがちのやり方(俺、どんなのか知らんが)を一般家庭用にやったらどうなんだ
たとえば、ちょっとなんかしようとするとその都度設定を弄らなければ駄目とかなると、
ユーザーから見るとどうなんだろうな。業務用ならこれでも良いとは思うが

336:foo
10/06/04 01:50:07
ここで一人で「アウトバンドにも必ず個別にフィルタかけろ」という奴に
FW設計して欲しくないわな。
顧客のスタッフの質、予算、運用状況、FW以外のセキュリティ対策を
ヒアリングした上で、FWポリシー(≠フィルタリングルール)を決めろよ。
お前みたいなのに当たった顧客は最悪だな。原理主義NEの言葉を
信じてがちがちにしたために、接続できないで社内ユーザーから突き上げくらうわ、
ベンダーに設定変更依頼を出してその度に作業費用を取られて、
上司から白い目で見舞われるわで、顧客担当者は涙目だわな。
まぁ、予算ある顧客しかしてこなかったからわからんのだろう。世の中は広いよ。
たまには違うフィールド、企業規模、業種の顧客を担当してみな。

337:anonymous
10/06/04 02:17:54
火病のことは放っておけ。
今までの書き込みを見れば、具体的なことを何も書いていないのが丸わかり。
こういう奴が上司だったりすると、部下がエクセルのマクロで楽をしてるのを
目撃した瞬間、カッとなってズルをするな!って怒鳴ったりするんだよ。
自分が今まで味わってきた苦労を、そのまま部下にも味わわせないと気が済まないってタイプ。

> 例えWebを見るだけであったとしてもだ配下のOSによって設定が変わってくる

ところで、これって今年最高のジョークだよな。

338:anonymous
10/06/04 02:43:25
まったく技量が少ないとすぐこうやって誹謗中傷にはいるのが2ちゃんねるらしいというか何というか…。

セキュアな状態にする為にアウトバウンドを適切に設定しろと言う事が何故こうも反発するのかが理解に苦しむ。
セミナーすら受講しない零細のエンジニアか又はそれ以下の者か素人かは知らんが世間を知らないのだろう。
そもそもあのフィルタ内容を妄信的に信じ疑問すら感じないようじゃお話にもならないが。
所詮はおまえ等は情報を受け取る側。
情報を発する俺のような立場には到底立てないし議論を交わす相手にもならん。
今まで通り少しずつ本を書いて情報を小出しにしてやるから指をくわえて待ってな。

339:anonymous
10/06/04 02:45:08
張り付きご苦労w

340:anonymous
10/06/04 03:13:36
久し振りに恥ずかしい書き込みを見た

341:anonymous
10/06/04 03:19:39
すげーすげー
腹抱えて笑った

342:anonymous
10/06/04 04:00:03
一日数回燃料の投下よろしくネット弁慶

343:anonymous
10/06/04 04:29:03
煽り抜きで真偽はどうなのん?
アウト方向も制限した方が良さそうな感じがするけどだめなのん?
駄目ならアクセス出来ないとかの理由じゃなくセキュリティ面でどう悪いか教すえて(´・ω・`)

344:anonymous
10/06/04 05:08:13
自宅で使ってる分には完全に好みの問題で、やりたければどうぞってだけの話
後になって、あれが出来ないこれが出来ないって言われたら面倒だから、ああなってる
外からの侵入は防げる作りになってるよ
それに、上でも散々書かれているけど、YAMAHAが掲載しているやつをIXのコマンドに
置き換えただけだから、やってることは>>97のリンク先と同じ

345:anonymous@05001011023622_ab
10/06/04 06:27:39 UoFtdJG9
アプリケーションファイヤーフォール機能がないIXにどこまで求めんの。所詮ポート制御レベルでは限界あるよ。

346:anonymous
10/06/04 06:33:14
ルータにアプリケーションレイアサポートしてるものとかないんだが…
つか理論上不可能

347:anonymous@05001011023622_ab
10/06/04 08:08:48 UoFtdJG9
>>346
すでにあるから。
・Cisco IOS Firewall
URLリンク(www.cisco.com)

Cisco IOS Firewall は、HTTP(Java ブロッキング)、その他多くのトラフィック タイプ別のステートフルなマルチサービス
アプリケーション ベースのフィルタリング、およびアカウンティング、URL のフィルタリングなど、・・・
対応機種
Cisco ルータ
Cisco Catalyst  スイッチ

・ヤマハルータ
Webレピュテーションでネットワークの入り口で危険なもの不要なものをブロック
URLリンク(netvolante.jp)

348:anonymous
10/06/04 09:36:52
>>347
あのね、それはアプリケーションレイア対応のFWとか言わないの
そういうHTTPのみのなんちゃってはSPIっていうわけ
アプリケーションレイア対応というのはHTTPだけじゃなく全てのポートに対応してるもの
数千円のコレガ製のものでもその手のものあるから

349:anonymous
10/06/04 10:43:18
ip napt enable
だけで充分

350:anonymous
10/06/04 10:49:34
dmz最強

351:anonymous
10/06/04 10:49:40
filter定義の次はFWですか。
ピンからキリまで有るんだから、レベル合わせろってーの。

っていうか、FWはスレちだろ。

352:anonymous
10/06/04 10:53:51
>>343
俺はアウト方向の制限をやってるぜい!
だってosのアップデートで未知のポートが使われたらこわいじゃん

353:anonymous
10/06/04 11:53:28
別にやりたきゃやれって話しじゃねwww


354:anonymous
10/06/04 13:01:34
>>346
SRXとかUTM-1もダメ?
理論上不可能って詳しく説明してほしい

355:anonymous
10/06/04 13:07:58
おい、お前ら。
奴に踊らされてるぞw
スルーの方向でよろしく。

356:anonymous
10/06/04 18:11:38
3層と7層の違い(キリッ とかそんなオチ?

357:anonymous
10/06/04 18:21:17
まあL4-L7まで見てデータのフローを解釈してパケットの中身までいじる機械は
本来ルータとは言わん気がする…

358:foo
10/06/04 20:03:57
>>343
仕事(顧客から対価を得る)と趣味(自宅で勉強がてらやる)を分けろということ。
中小企業の顧客にアウトバンドの個別フィルター設定をしたらどうなるか考えろ。
顧客がPC増やしたり、新しいASPサービスを使いたいとかいってきた場合、
その度毎に設定変更のため、作業料請求するというのは顧客からみたらどう見える。
俺ら守銭奴野郎と思われるよ。昨今、そんな金払いのいい顧客なんかいないから、
仕事を失注することが多くなる。
セキュリティ面ではアウトバンドも設定した方がセキュリティ向上になるのでしない
場合よりもマイナスになることはない。ただし、上記のような運用面を考えると、
運用負荷・コストがかかりすぎるので、明らかにマイナス(顧客の立場にたっていない)。
だから、顧客を見て、セキュリティ面と運用面をどうバランスするかがNEの腕の見せ所だ。

>>357
普通はIDSやIPSというわな。
でも、そんな賢いIDSやIPSないから、誤検知続出で運用負荷が高くなって、
結局ぬるぬるな設定になっているよね。所詮、パターンファイル更新+なんちゃって
AI検知だから仕方ないけど。


359:anonymous
10/06/04 21:29:01
>>349
この騒動を目撃して、オレもNAPT に加えてダイナミックフィルタをかますことにしたw
ルータの防御のためだけどな。

2,3個穴を開けてるので意味ないかもしれんけど。

360:anonymous
10/06/04 21:39:13
>>359
tcpの通信を受け取る場合は、tcpフラグのsynだけ受け取るように穴を開けて、
あとは動的フィルタで通信させることも出来る

361:anonymous
10/06/05 12:32:40
サンクス、内向きのアクセスリストにsyn を追加していおいた(;゚∀゚)=3

362:anonymouse
10/06/10 00:38:21
(;゚∀゚)=3

363:anonymousex
10/06/10 19:10:29
(;゚∀゚)=3

364:anonymous
10/06/10 21:01:19
(;゚ ゚)=∀

365:anonymous
10/06/10 21:15:05
(; ∀ )=゚3゚

366:anonymous
10/06/11 07:36:57
(;゚∀゚)=3

367:サゲ
10/06/11 08:24:45
荒らすなクズ

368:a
10/06/11 09:43:48
(;゚∀゚)=3

369:anonymous
10/06/11 12:48:32
(;゚∀゚)=3

370:a
10/06/11 13:41:41
え?なに?もう1000取りモードなの?スレ埋め?
まあ、part5で終了は確定的に明らかだし、さっさと埋めるのも良いと思うけど。

371:anonymous
10/06/11 14:04:48
Part5まで続いたのが凄いわ。
ほとんど話題はPart2までで出尽くした感があったからな。
ちょっと前に盛り上がったメモリ領域の再利用も8.4系で改善されたし。

372:afo
10/06/11 16:35:43
>>371
この糞スレにいる大多数のファーム乞食はIX2015を使ってる訳で、2015には
適用出来ない8.4系で改善されたとか言われても、それは改善されたとはいわ
無い。

結局IX2015はメモリが足りなくなったら勝手に再起動っつー最悪かつ糞みたいな
バグを放置したまま終了ってことで。

373:admin
10/06/11 17:41:02
何を今更なことを
わざわざキリッとした顔で言う事かね

374:anonymous
10/06/11 17:50:02
それは改善されたとはいわ無い。(キリッ
(AA略)

375:root
10/06/11 18:01:25
改善されて良かったじゃん。素直に喜ぼうよ。さすがNEC!

376:anonymous
10/06/11 19:11:25

  
          ,..-─‐-..、
            /.: : : : : : : .ヽ
          R: : : :. : pq: :i}
           |:.i} : : : :_{: :.レ′ 良く無いわよ!
          ノr┴-<」: :j|
        /:r仁ニ= ノ:.ノ|!           _
          /:/ = /: :/ }!        |〕)  ポコペン
       {;ハ__,イ: :f  |       /´
       /     }rヘ ├--r─y/
     /     r'‐-| ├-┴〆    _, 、_  '⌒ ☆
      仁二ニ_‐-イ  | |      ∩`Д´)  ヤダヤダ
      | l i  厂  ̄ニニ¬      ノ  ⊂ノ 
     ,ゝ、 \ \   __厂`ヽ    (__ ̄) )
     / /\_i⌒ト、_   ノrr- }     し'し′
   └-' ̄. |  |_二二._」」__ノ


次ページ
最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch