YAMAHAルーターを使うのに、いくつか覚えてきたいテクニックが存在する。
フィルターをPASS-LOGに変えて、ログを見るというテクニックもあるが、
あっちはネットワークガチ勢がやる方法だ。
この設定は絶対に通るはずなのにこの通信通らない、とか、
この通信使っているやつどこの野郎だ、とか探るためなので、オススメしない。
正直ログも膨大だしなぁ。
ただ、初心者でも最初のとっかかりで見ておいて、なおかつ実用的な物がある。
show ip connection
show ipv6 connection
こちら、動的フィルタのコネクション状況が見れるものとなっております。
そもそも、動的フィルタの動作について軽くおさらい。
まず、動的フィルタ dynamic はOUT側にしか存在しない。
IN側の静的フィルタが許可していなくとも、動的フィルタが動いた場合は、
IN側を開けてくれる。
たとえば、PPPoEでフィルターを使った場合、だいたい、
IN :インターネットからPCに入ってくる通信
OUT:PCからインターネットに出ていく通信になる。
(この辺の覚え方は人それぞれ。LAN側になると混乱する。後で概念を確認しておくこと)
PCから出た通信はインターネットに行くが、インターネットからPCに返す通信を許可する場合はどうすれば良いのか?
静的フィルタを設定するのも有りだが、例えばHTTPポートを使われてハッキングされる場合は静的フィルタでは防げない。
(PPPoEはNATで構成されるため届かないが、IPv6の場合はスカスカになる)
それを解決するのが、動的フィルタです。
設定したプロコトルにアクセスする際に、それを制御キーとしてIN側を開けてくれます。
通信が切れたら、閉じてくれます。
つまり必要な時にだけ開き、なおかつそれ以外の通信を通さない、重要な機能です。
でも、ICMPパケットやESPパケットはあまり使用できない。
(特にICMPに関しては、ハッキング対策の前に、静的で絶対に開けること)
で、そのConnection状況を見れるのが上記のコマンドです。
show ip connectionだけだと、IPアドレス別で、何個コネクション貼っているのかが見れます。
ようするに、誰のPCでどのくらい負荷かけているのかが見れます。
show ip connection detailを 打つと、IPアドレス、ポート別で見れます。
これを見ると、静的ポートと動的ポート、NATマスカレードの仕組みが分かってくると思います。
たとえばdomainの設定を加えると、DNSの稼働状況も見れます。
DNS繋がっているはずなのに、アドレス解決できないなーとかそこんとこ判断できます。
まぁポートの動作に関してはshow nat descriptor関係からNATマスカレードの状況を見るのも良いんだが、
なんか、辿り着くまでに長いんですよ。
show nat descriptor address detailとかで見れるんですが、こっちの場合、
outer IP とInner IPの違いが分からないと厄介な性質を持ちます。
また、これからルーターやる人は、IPv6が主流で非NATになってくるので、
show ipv6 connectionを覚えておくのは損しません。
本日使ったテクニックはまだあるから、連日投稿予定だぞ。
ログインしてコメントを確認・投稿する