とりあえず作ってみたブログ

<< November 2019 | 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 >>

3回目の入れ替え

先ほど、あと1週間残っていますが、SSLの証明書を更新しておきました。やっと板についてきたのかな?ノーミス、ノートラブルで入れ替わったはずです。

 次の期限は、2020年2月20日となります。
comments (0) | trackbacks (0)

ルーターのファームウェ更新

191019_画面

 自宅で常用中のIX2025のファームウェアを更新しておきました。webから出来るはずなんだけど、内部エラーで弾かれてうまくいきませんでした。何でだろう?uploadリミットを外してもダメした。
 コンソールからtftpでsoftware-updateコマンドならすんなりOK。何でだろうね~。(tftpでの手順はこちらを参照)

 表題のキャプチャーは終わってからのWEB画面。
comments (0) | trackbacks (0)

IXルーターのIPv6ブリッジ設定 その2

190831_router

 少し前のこちらの続きです。この時の設定だと、IPv6は単なるブリッジ接続なので、ネット側から丸見え状態です。個々の端末のセキュリティ能力次第・・・IPアドレスが判れば、共有フォルダが外から見えてしまうので、やはりよろしくない。ってことで、数日前にIPv6のブリッジ設定を解除していました。

 ブリッジに最低限、外から始まる通信は遮断、というフィルターを追加しておけば、IPアドレスが判ってもPCへのアクセスはできないからセキュリティは保てるはず。

 設定事例集内にあるIPv6→PPPoEネットアクセス例や、公式WEBサイトの技術情報内のIPv6でのDHCP-PDの場合の設定例などで紹介されているIPv6動的フィルターの設定を流用します。

ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list permit-list permit ip src any dest any
ipv6 access-list dynamic dflt-list access permit-list

FE0/0へ上記条件でのフィルターをbridgeへ適用させます。

interface FastEthernet0/0.0
bridge-group 1
bridge ipv6 filter dhcpv6-list 1 in
bridge ipv6 filter icmpv6-list 2 in
bridge ipv6 filter block-list 100 in
bridge ipv6 filter dhcpv6-list 1 out
bridge ipv6 filter icmpv6-list 2 out
bridge ipv6 filter dflt-list 100 out

こんな感じです。(ほかの設定もあるけど省略)

 テストは、IPv6対応のポートスキャンを利用して状態確認しています。(こちらとかこちら

190925_port

 これがあるPCのポートスキャン結果。もともと、セキュリティソフトが入っているので、ある程度はふさがっているはず。ファイル共用関連の135や139、445が隠れているか?、といったところで見極めることになると思います。
comments (0) | trackbacks (0)

IXルーターのIPv6ブリッジ設定

190831_router

 こちらの作業の続きです。IPv6のブリッジ設定、あまり難しくはないので早々にできていましたが、出張などあり投稿する機会を逃したので今日です。

 IX2025の場合は、最新ファームにしても、9.5系なので、古いファームウェア向けのブリッジ設定しかできません。(公式ページはこちら) これは、まぁ書いてある通りにCONFIGを修正するだけなので、さほど時間もかからず、さくっと完了しました。
comments (0) | trackbacks (0)

IXルーターでDDNSの自動更新を設定

190828_ix

 こちらの続き。ダイナミックdnsの自動更新の設定です。公式WEBだとこちらに設定例があるけど、分量は少な目です。なお、こちらで利用するダイナミックDNSはddo.jpです。

 IX2025とddo.jpという組み合わせのサンプルが見当たらない感じなので、以下に書いておきます。

○まずこのコマンド。

ddns enable
これで、ダイナミックDNS登録機能を有効にします。

○ダイナミックDNS用のプロファイルの設定。

ddns profile ddo
url http://free.ddo.jp/dnsupdate.php
query dn=○○○&pw=△△△
transport ip
source-interface FastEthernet0/0.1
update-interval 165

 ddo.jpのHowTOを見ると、URLとパラメターを一気に投げるだけでok。?以降の部分は、query部分に記載すれば通る。(○○○がドメイン、△△△がpassword)

 update-intervalを設定しているのは、デフォルトのままだと24時間ごとにupdateをかけてしまうので、165時間と長めに設定。ルーターだから指定したinterfaceのIPアドレスが変われば自動で発動。

○手動でアップデートする

ddns update
これで手動アップデートがかかります。(プロファイルが1個なら省略できます)

○状態確認

show ddns
これで、最後に行ったddns更新状況が見えます。(プロファイルが1個なら省略できます)

 クエリーのところ、passwordを平文でそのまま書いてしまっています。password登録できるので、これで暗号化しておいた方がええでしょうね。
comments (0) | trackbacks (0)

さっそくルーターを交換しました

190831_router

 この前ぽちったルーターをさっそく投入しました。とりあえず今日の設定はここまで。

・PPPoE(当たり前だね)
・ローカル内のinterface設定
・WEBなどのサービスポート公開
・ダイナミックDNS、自動更新設定

これで残件は
・IPv6のブリッジ設定

 NECの業務用ルーターIXシリーズのVer8.8以降にはダイナミックDNSの更新機能が追加されています。古いIX-****をジャックで買うと非対応、適当に古いけど、ファームが極端に古くないものなんでしょうか。
 ダイナミックdnsの設定は改めて。

 写真は、使用開始したIX2025と前に使っていたSi-R220C
comments (0) | trackbacks (0)

またまた、思わずぽちる

190828_ix

 少し前なんですが、またまたうっかりポチってしまいました。今度はIX2025(NEC)です。現行の一世代前ぐらいのものです。送料が変わらないのならってことで、2個もポチってしまいました。

190828_ver

 ファームの入れ替え、スタンダードにはこちらみたいな方法なんでしょうけど、比較的新しいタイプなのでWEBからでもできます。
 その場合は、FE1/0へ適当なIPアドレスを振って、WEB周り用に以下のCONFIG投入。

http-server username admin
http-server ip access-list admin_console
http-server ip enable
http-server upload-limit 10

 多分、最後のupload-limitがポイントかも。古い場合は、upload-limitに引っかかって新しいファームウェアをUPLOADしてもファイルが大きい等のメッセージが出てはじかれます。とりあえず、最大値の10と緩めておきます。
 access-listは内側からのみ許可を設定しておけば最低限OKでしょう。web用の初期コンフィグは公式ページを参照して作れば間違いないでしょう。

 さて、買ってしまったものの、こちらもあるし、どうしようか…(^^;;

#深く考えずにポチったようです(笑)
comments (0) | trackbacks (0)

2回目の入れ替え

そろそろ期限なので、忘れないうちにSSL証明書の入れ替えを行いました。先ほど入れ替えたので、11月19日まで有効の証明書となっています。

一点備忘録。

 証明書を入れ替えたら、apacheのRebootを忘れないこと!

当たり前と言えば当たり前ですねぇ。rebootを忘れ、何で新証明書が反映しないんだ?と一瞬考えてしまいました。(^^;;;

#ついでにサーバー機ごとRebootしておきましょうか。。。
comments (2) | -

1回目の入れ替え

SSLの証明書の期限がそろそろ来るので、再取得。
httpdのconfを一時的に変えたのはいいけど、戻さないでhttpsアクセスして動かず・・・少しはまってしまった(T_T)
comments (0) | trackbacks (0)

ルーターのファームウェア更新

190522_update中

 自宅ルーター(Si-R220C)のファームウェアを更新しました。販売終了となってからまもなく6年。サポートに関しては何の期待もなくポチッたのですが、偶然ダウンロードのページを見たらアップデートがありました。リリースノートを見たら、うちでは全く関係が無いところでの修正ですけど、折角だからアップしておきました。

#前回アップデートからそろそろ3年というタイミングでした。

 今回のアップデートはUSBポートから行いました。USBメモリをさしたあと、ポートの閉塞解除をポチらないとUSBメモリが読めない点だけ注意が要りそうです。PCならUSBメモリを挿した時点で自動認識が普通ですからねぇ。(もう一台の個体では閉塞解除しなくても挿しただけで認識した。どっちが正解なんだろう?)
 表題のキャプチャーはアップデート中の様子。ftpによる転送より、WEB設定+USBメモリのほうが作業は簡単です。

#USBメモリの自動読み込み機能は、作業が終わったら念のためdisableへ修正。
(設定→詳細設定メニュー→装置情報→外部メディアスタート機能情報)
comments (0) | trackbacks (0)
1/15 >>