バージョンアップ内容について興味があるものがなかったのでその他のものについて書いておきます。 なお、BLR3-TX4L Ver 3.61(CZ.0)b3 レビューは、こちら。 ※検索エンジン等よりお越しの方は、まずTop page及び免責事項をご覧下さい。
現在把握されている不具合は以下のものです。 ・ファイアウォール機能がonの時、間違ったRWINが指定されたパケットを 正しいものとは別に送信するバグ→May 17th, 2003 ・ファイアウォール機能がonの時、IDENT要求を拒否する設定が無視されます。 単純に*.romが悪いです。回避方法はこちら。 ・時刻表記に関するバグ
July 29th, 2003 ma2さんからご報告を頂きました。 ファイアウォール機能がonの時、ごく一部の環境にてIPアドレス取得に必要なパケットが ファイアウォール機能によって破棄される不具合が解消されたそうです。
July 28th, 2003 午後7時過ぎにリンク先のURLが訂正されていたのを確認しました。 また、Mac向けのreadme.htmlの誤記も修正されていました。 しかし未だ361cz0b5.exeを解凍して出てくるreadme.txtには誤記が残ったままです。
July 26th, 2003 まず、URLが間違っています。相変わらず、RWIN関連のバグは残ったまま。 この2つは掲示板にてとしさんに教えていただきました。ありがとうございます。 readme.txtに誤記有り。「set_361cz0b3.rom」ではなく「set_361cz0b5.rom」です。 set_361cz0b3.romとset_361cz0b5.romは異なるファイルなので(バイナリ比較しました) readme.txtの指示にしたがってファームウェアのバージョンアップをしましょう。 Main Menu→21→3や、sys fire dispで見ることが出来るFirewallのログを見てみると、 未だ夏時間となってしまってます。 ごく一部を除いてコマンドの追加もありません。 マイナーバージョンアップのようなので、たぶん以前ここに書いた不具合については解消されていないでしょう。 というわけで結論等は、Ver 3.61(CZ.0)b3レビューと同じです。
AP000740?> sys version
RAS version: V3.61(CZ.0)b5 | 05/16/2003
romRasSize: 944452
system up time: 0:07:17 (aaf7 ticks)
bootbase version: V1.12
RAS CODE: RAS May 16 2003 11:03:20
Product Model: BLR3-TX4L
AP000740?> sys view autoexec.net
sys errctl 0
sys trcl level 5
sys trcl type 1180
sys trcp cr 96 128
sys trcl sw on
ip tcp mss 1024
ip tcp limit 2
ip tcp irtt 65000
ip tcp window 4
ip tcp ceiling 6000
ip rip activate
ip rip merge on
ip icmp disc enif0 off
ppp ipcp com off
sys wdog sw on
ip adjmss 1414
ip antip 1
sys stdio 10
AP000740?> sys rn disp 1
Remote node[1]: ChangeMe
NAT option: SUA only.
NAIL-UP option: No
MTU: 1454
Block: No
AP000740?> sys dir
blk: 2 adr: bfc06000 Length 8192 index 2 ver 3
dir: 2 ver: 3 size: 8188
boot RSV: 00032 CUR: 00012 PTR: 0x148
spt.dat RSV: 06832 CUR: 02860 PTR: 0x168
autoexec.net RSV: 00500 CUR: 00294 PTR: 0x1c18
Total bytes free : 4
blk: 1 adr: bfc04000 Length 8192 index 1 ver 1
dir: 1 ver: 1 size: 6472
dbgarea RSV: 06144 CUR: 00000 PTR: 0x148
Total bytes free : 1720
spare blk: 34 address: bfe00000, not a valid blk
AP000740?> ?
Valid commands are:
sys exit device ether
poe pptp config ip
ppp
AP000740?> sys
adjtime cbuf baud callhist
clear clock countrycode date
dir domainname edit enhanced
errctl event extraphnum feature
fid firewall firmware hostname
iface isr interrupt log
map mbuf memory memwrite
memutil model proc pwc
queue quit reboot reslog
rn stdio time timer
trcdisp trclog trcpacket syslog
version view wdog romreset
mrd server pwderrtm upnp
blr3 spt cmgr socket
filter ddns cpu
AP000740?> device ?
channel dial
AP000740?> pptp ?
debug dial drop tunnel
window rxTimeout queue enque
AP000740?> ppp ?
bod ccp lcp ipcp
mp configure iface show
fsm delay
AP000740?> ip ?
address alias aliasdis arp
dhcp dns httpd icmp
ifconfig ping pong route
smtp status adjTcp adjmss
udp rip tcp samenet
uninet tftp xparent antiprobe
urlfilter rpt stroute ident
igmp nat
AP000740?> ip dns default
Default DNS Server is 210.63.178.1
AP000740?> sys fire acl disp
ACL Runtime Data for ACL Set Number: 1
Number of Rules: 0
ACL default permit (0=no, 1=yes): 1
ICMP Idle Timeout: 0
UDP Idle Timeout: 0
TCP SYN Wait Timeout: 0
TCP FIN Wait Timeout: 0
TCP Idle Timeout: 0
DNS Idle Timeout: 0
ACL Runtime Data for ACL Set Number: 2
Number of Rules: 0
ACL default permit (0=no, 1=yes): 0
ICMP Idle Timeout: 0
UDP Idle Timeout: 0
TCP SYN Wait Timeout: 0
TCP FIN Wait Timeout: 0
TCP Idle Timeout: 0
DNS Idle Timeout: 0
ACL Runtime Data for ACL Set Number: 7
Number of Rules: 0
ACL default permit (0=no, 1=yes): 1
ICMP Idle Timeout: 0
UDP Idle Timeout: 0
TCP SYN Wait Timeout: 0
TCP FIN Wait Timeout: 0
TCP Idle Timeout: 0
DNS Idle Timeout: 0
ACL Runtime Data for ACL Set Number: 8
Number of Rules: 1
ACL default permit (0=no, 1=yes): 0
ICMP Idle Timeout: 0
UDP Idle Timeout: 0
TCP SYN Wait Timeout: 0
TCP FIN Wait Timeout: 0
TCP Idle Timeout: 0
DNS Idle Timeout: 0
Runtime Rule Number: 1<1>
active (0=no, 1=yes): 1
Permit (0=restrict, 1=allow): 1
Log (0=none, 1=match, 2=not-m, 3=both): 0
Alert (0=no, 1=yes): 0
Protocol: 0
Source IP Any: 1
Source IP Number of Single: 0
Source IP Number of Range: 0
Source IP Number of Subnet: 0
Dest IP Any: 1
Dest IP Number of Single: 0
Dest IP Number of Range: 0
Dest IP Number of Subnet: 0
TCP Source Port Any: 1
TCP Source Port Number of Single: 0
TCP Source Port Number of Range: 0
UDP Source Port Any: 1
UDP Source Port Number of Single: 0
UDP Source Port Number of Range: 0
TCP Dest Port Any: 0
TCP Dest Port Number of Single: 0
TCP Dest Port Number of Range: 0
UDP Dest Port Any: 0
UDP Dest Port Number of Single: 2
UDP Dest Port Number of Range: 0
Dest Port Single Port[1]: 68
Dest Port Single Port[2]: 500
SA Index: 0
ACL Runtime Data for ACL Set Number: 0
Number of Rules: 0
ACL default permit (0=no, 1=yes): 0
ICMP Idle Timeout: 0
UDP Idle Timeout: 0
TCP SYN Wait Timeout: 0
TCP FIN Wait Timeout: 0
TCP Idle Timeout: 0
DNS Idle Timeout: 0
ACL Runtime Data for ACL Set Number: 0
Number of Rules: 0
ACL default permit (0=no, 1=yes): 0
ICMP Idle Timeout: 0
UDP Idle Timeout: 0
TCP SYN Wait Timeout: 0
TCP FIN Wait Timeout: 0
TCP Idle Timeout: 0
DNS Idle Timeout: 0
ACL Runtime Data for ACL Set Number: 0
Number of Rules: 0
ACL default permit (0=no, 1=yes): 0
ICMP Idle Timeout: 0
UDP Idle Timeout: 0
TCP SYN Wait Timeout: 0
TCP FIN Wait Timeout: 0
TCP Idle Timeout: 0
DNS Idle Timeout: 0
ACL Runtime Data for ACL Set Number: 0
Number of Rules: 0
ACL default permit (0=no, 1=yes): 0
ICMP Idle Timeout: 0
UDP Idle Timeout: 0
TCP SYN Wait Timeout: 0
TCP FIN Wait Timeout: 0
TCP Idle Timeout: 0
DNS Idle Timeout: 0
AP000740?> sys fire cnt disp
ICMP Idle Timeout: 0 UDP Idle Timeout: 25
TCP Idle Timeout: 0 TCP SYN Idle Timeout: 0
TCP FIN Idle Timeout: 1
Land Attack: 0 IP Spoof Attack: 0
ICMP Echo Attack: 0 ICMP Attack: 0
Netbios Attack: 0 Trace Route Attack: 0
Tear Drop Attack: 0 Syn Flood Attack: 0
SMTP Attack: 0
ACL name: ACL Default Set
Blocks: 0 Minute High: 0
Max Incomplete High: 0 TCP Max Incomplete: 1
ACL name: ACL Default Set
Blocks: 0 Minute High: 0
Max Incomplete High: 0 TCP Max Incomplete: 0
ACL name: ACL Default Set
Blocks: 0 Minute High: 0
Max Incomplete High: 0 TCP Max Incomplete: 0
ACL name: ACL Default Set
Blocks: 0 Minute High: 0
Max Incomplete High: 0 TCP Max Incomplete: 0
AP000740?> config disp fire
Firewall Active: Yes
e-mail:
mail-server: 0.0.0.0
return-addr:
email-to:
subject:
policy: full
attack:
send-alert: no
block: no
minute-high: 100
minute-low: 80
max-incomplete-high: 100
max-incomplete-low: 80
tcp-max-incomplete: 10
ACL set number: 1(LAN to WAN)
ACL set name: ACL Default Set
ACL set number of rules: 0
ACL set default permit: forward
ACL pnc enable: yes
ACL log enable: no
ACL set timeout values:
ICMP idle timeout (s): 60
UDP idle timeout (s): 60
TCP connection timeout (s): 30
TCP FIN-wait timeout (s): 60
TCP idle timeout (s): 3600
ACL set number: 2(WAN to LAN)
ACL set name: ACL Default Set
ACL set number of rules: 0
ACL set default permit: block
ACL pnc enable: no
ACL log enable: yes
ACL set timeout values:
ICMP idle timeout (s): 60
UDP idle timeout (s): 60
TCP connection timeout (s): 30
TCP FIN-wait timeout (s): 60
TCP idle timeout (s): 3600
ACL set number: 7(LAN to LAN/ZyWALL)
ACL set name: ACL Default Set
ACL set number of rules: 0
ACL set default permit: forward
ACL pnc enable: no
ACL log enable: no
ACL set timeout values:
ICMP idle timeout (s): 60
UDP idle timeout (s): 60
TCP connection timeout (s): 30
TCP FIN-wait timeout (s): 60
TCP idle timeout (s): 3600
ACL set number: 8(WAN to WAN/ZyWALL)
ACL set name: ACL Default Set
ACL set number of rules: 1
ACL set default permit: block
ACL pnc enable: no
ACL log enable: yes
ACL set timeout values:
ICMP idle timeout (s): 60
UDP idle timeout (s): 60
TCP connection timeout (s): 30
TCP FIN-wait timeout (s): 60
TCP idle timeout (s): 3600
ACL rule number: 1
ACL rule active: yes
ACL rule permit: forward
ACL rule protocol: 0
ACL rule log: none
ACL rule alert: no
UDP destination port number(s): 68, 500
AP000740?> sys fire dyn disp
INDX|TTL |STUS|SRC IP PORT|DEST IP PORT
----------------------------------------------------------------------
今朝の続きです。 ファイアウォール機能がonの時にIdent要求を拒否するための コマンドを書き忘れていました(^^; AP000740?> sys fire tcprst rst113 on AP000740?> sys fire tcprst disp TcpRstSend to port 113 = ON TcpRstSend = OFF sys fire tcprst rst113 offで元に戻ります。
Ver 3.61(CZ.0)b5はマイナーバージョンアップのようなのでこちらも参考になるはずです。 いよいよ期待の不正アクセス検出機能(ファイアウォール)が追加されました。 今回の新ファームウェアはβ版です。 β版ですが、メルコに期待をするという意味で「おかしいかな?」と思った点は 厳しく指摘をしています。 ※検索エンジン等よりお越しの方は、まずTop page及び免責事項をご覧下さい。
予想以上の文の長さとなってしまったため、わかりやすく書きなおすのは断念しました。 簡単にVer 3.61(CZ.0)b3のポイントだけまとめておきます(June 21st, 2003)。 ・WAN側DHCPクライアント関連の不具合の解消→May 22nd, 2003 ・ファイアウォール機能の追加 ・ファイアウォール機能がonの時、間違ったRWINが指定されたのパケットを 正しいものとは別に送信するバグ→May 17th, 2003 ・ファイアウォール機能がonの時、ごく一部の環境にてIPアドレス取得に必要なパケットが ファイアウォール機能によって破棄される→May 31st, 2003 →Ver 3.61(CZ.0)b5で不具合解消済み! 総評 RWINの件がバグフィックスされた正式版ファームウェアの公開に期待したいと思います。 不具合回避の方法を理解できる方には、Ver 3.61(CZ.0)b3へのファームウェアの更新をお勧めします。
July 26th, 2003 ファイアウォール機能が原因でIdent要求の拒否ができなくなってしまっています。 (無条件に113/TCP宛のsynを破棄してしまっているため。) Ver.3.60(cz1)c0以降からVer3.61(cz0)b3にバージョンアップをし、 メールの送受信に時間がかかるようになった場合は コマンドを用いてパケットを通過させましょう。
June 28th, 2003 ICMP関連の不具合(不思議〜応答してきます。の部分)は、 V3.60(CZ.2)においてバグフィックス済みでした。訂正します。
June 21st, 2003 ICMP関連の不具合(不思議〜応答してきます。の部分)が解消されていることを確認しました。 やはりこれもバグだったんですね。
June 17th, 2003 昨日syslogに不思議なものが残っていました。
2003/06/16 17:24:23 [Lv5:F21] Jun 16 17:24:53 RAS FW DNSサーバー :53 ->WAN側IP address :1024 |UDP|default policy:<8,0>|B
宛先の1024番ポートはDNS RelayでBLR3-TX4Lが使っているポートです。 パケットの中身を見ないと判断できませんが、私はDNS Relayを使っているため 一見正常と思われるパケットが何故default policyにて破棄されたのかが謎です。 一応記録ということで書いておきます。
June 14th, 2003 何故かFirewallに関するsyslogがforwardのログなど余計なものを 記録することができなくなってしまいました。
2003/05/16 23:03:06 [Lv5:F17] May 16 23:03:04 AP000740?????? CF: 192.168.11.2 | FORWARD | bbs8.otd.co.jp
これは、以前のログなのですがCFとは何なのでしょうか? 全くわかりません。 もし御存知の方がいらっしゃいましたら教えて下さい。 とりあえず、Menu 24.3.2 - System Maintenance - UNIX Syslogにて TypesのFirewall log= Yesとすればパケットを破棄したログを普通に取れるようです。
June 4th, 2003 一昨日書いたログが消えてしまう件は他に原因があるのかもしれません。 今回は偶然アタックされた時とログが消えた時が一致したのかもしれません。 原因や対処方法を御存知の方がいらっしゃいましたら教えて下さい。 Firewallに関するsyslogがforwardのログなど余計なものを含まずにとれるようになりました。 適当にいじくっていたところ、不要なログを含まなくなったので 時間があるときにでもちゃんとどうすればいいかを確かめたいと思います。
2003/06/04 00:09:36 [Lv5:F17] Jun 4 00:10:51 RAS FW 203.122.2.197 :3402 ->???.???.???.??? :445 |TCP|default policy:<8,0>|B
2003/06/04 00:09:39 [Lv5:F17] Jun 4 00:10:54 RAS FW 203.122.2.197 :3402 ->???.???.???.??? :445 |TCP|default policy:<8,0>|B
2003/06/04 00:09:45 [Lv5:F17] Jun 4 00:11:01 RAS FW 203.122.2.197 :3402 ->???.???.???.??? :445 |TCP|default policy:<8,0>|B
June 2nd, 2003 今日traceroute attackを食らいました。
ras> sys fire cnt disp ICMP Idle Timeout: 5 UDP Idle Timeout: 1216 TCP Idle Timeout: 0 TCP SYN Idle Timeout: 36 TCP FIN Idle Timeout: 28 Land Attack: 0 IP Spoof Attack: 0 ICMP Echo Attack: 0 ICMP Attack: 0 Netbios Attack: 0 Trace Route Attack: 167505 Tear Drop Attack: 0 Syn Flood Attack: 0 SMTP Attack: 0
攻撃されたこと自体はどうでもいいのですが、1つ発見しました。 攻撃されルータに高負荷がかかるとログが消えるようです(細かくチェックはしてません)。
June 1st, 2003 WAN側ポートのDHCPクライアントにおいて、 リーチのでの不具合以外にもあやしげな挙動を示していたのですが ちゃんと不具合が解消されたようです。 新たに加わっていたコマンドを2つ紹介。 sys blr3 これは、System Nameを未設定の状態にするものです。 個人的には、System NameにAP000740??????と入っているのが嫌いなのでありがたいコマンドです。 ただしautoexec.netで電源投入時に実行させてもうまく機能しないようです。
ras> ip rpt start stop url ip srv
ip rpt startをすることで、閲覧したwebのURLのTop20等を記録できます。 以前のバージョンでも可能だったようですが、 LAN内のDHCPクライアントに対してDHCPのoption15で DNSサーバーとしてBLR3-TX4Lを指定させることができます。 ip dhcp enif0 ser dnso router 電源を切ると、デフォルトの設定に戻ってしまうので DNS Relayを使いたい人は、autoexec.netに付け加えておくと便利でしょう。 昨日紹介しましたが、コマンドを用いて特定のパケットを ファーアウォール機能でforwardさせたりblockさせることが可能です。 その際にログを残すこともできます。あえて詳細については省略します。
ras> config edit fire set ?
set (1 - 255)
Sub-Fields:
name
default-permit
pnc
log
icmp-timeout
udp-idle-timeout
connection-timeout
fin-wait-timeout
tcp-idle-timeout
rule
ras> config edit fire set 8 rule ?
rule (1 - 30)
Sub-Fields:
active
permit
protocol
log
alert
srcaddr-single
srcaddr-subnet
srcaddr-range
destaddr-single
destaddr-subnet
destaddr-range
tcp
udp
destport-custom
May 31st, 2003 一部のDHCPサーバーからIPアドレスを取得している場合に ファイアウォール設定を有効にしてしまうとIPアドレスが取得できないケースが あることが判明しました。 (ma2さんからの掲示板への投稿より。ma2さんがテプコケーブルテレビジョンにて確認。 他のキャリアにおいても該当する場合があれば掲示板にて教えて下さい。) 具体的には、以下のようなファイヤーウォールログがルータの起動直後に 残っている場合がそれに該当するケースです。
AP000740?> sys fire disp # Time Packet Information Reason Action 31|Jan 01 00 |From:DHCP server To:255.255.255.255 |default policy |block | 00:00:05 |UDP src port:00067 dest port:00068 |<8,00> | 32|Jan 01 00 |From:DHCP server To:255.255.255.255 |default policy |block | 00:00:13 |UDP src port:00067 dest port:00068 |<8,00> | 33|Jan 01 00 |From:DHCP server To:255.255.255.255 |default policy |block | 00:00:28 |UDP src port:00067 dest port:00068 |<8,00> | 34|Jan 01 00 |From:DHCP server To:255.255.255.255 |default policy |block | 00:00:30 |UDP src port:00067 dest port:00068 |<8,00> | (以下省略)
見事にIPアドレス取得に必要なパケットが破棄されています。 default policyには、ブロードキャスト宛のパケットを無条件で破棄するように されていることがこれでわかりました。 それでは、この現象の回避方法です。 ma2さんに試していただき、無事ファイアウォール機能が使えるようになったとの 報告を頂きました。 まず、webの設定画面にてファイヤーウォール機能を無効にします。 Command Interpreter Modeにて以下のコマンドを実行。 (コマンドを実行しても画面上は変化がありませんが、ちゃんと設定されていってます。 一言一句文字等の打ち間違えのないように気をつけてください。 また、コマンドを実行する前に設定を保存しておいた方がいいと思います。) ip dhcp enif1 cl rel config edit fire set 8 rule 2 permit forward config edit fire set 8 rule 2 active yes config edit fire set 8 rule 2 protocol 17 config edit fire set 8 rule 2 srcaddr-single DHCPサーバーのIPアドレス config edit fire set 8 rule 2 destaddr-single 255.255.255.255 config edit fire set 8 rule 2 udp destport-single 68 config edit fire set 8 rule 2 log match config save firewall s qui webの設定画面にてファイヤーウォール機能を有効にします。 また、telnetでの設定画面に戻りCommand Interpreter Modeにて ip dhcp enif1 cl renを実行して回避策完了です。 これでたぶんファイヤーウォール機能を使えるようになっているはずです。 もしうまくいかない場合があれば掲示板で相談してみてください。 この設定がどう反映されているかはこのように確認可能です。
AP000740?> config disp fire set 8
ACL set number: 8(WAN to WAN/ZyWALL)
ACL set name: ACL Default Set
ACL set number of rules: 1
ACL set default permit: block
ACL pnc enable: no
ACL log enable: yes
ACL set timeout values:
ICMP idle timeout (s): 60
UDP idle timeout (s): 60
TCP connection timeout (s): 30
TCP FIN-wait timeout (s): 60
TCP idle timeout (s): 3600
ACL rule number: 1
ACL rule active: yes
ACL rule permit: forward
ACL rule protocol: 0
ACL rule log: none
ACL rule alert: no
UDP destination port number(s): 68, 500
ACL rule number: 2
ACL rule active: yes
ACL rule permit: forward
ACL rule protocol: 17
ACL rule log: match
ACL rule alert: no
Source Single IP address: DHCPサーバーのIPアドレス
Destination Single IP address: 255.255.255.255
UDP destination port number(s): 68
Free space remaining in ACL buffer: 1644
May 22nd, 2003 リーチDSLでちゃんと最初にIPアドレスを取得してから21時間後に IPアドレスの更新がなされたのを確認できました。 この問題については解決です。Ponさんからも掲示板に報告をもらいました。 BLR2-TX4L,BLR-TX4Lについても同様にバグフィックスしてもらいたいです。
AP000740?> ip dhcp enif1 st
DHCP on iface enif1 is client
Hostname : AP000740??????A.
Domain Name :
Server IP address: ???.???.2n+1.251
Client IP address: ???.???.2n.???/23
DNS server : ???.???.???.???, ???.???.???.???, 0.0.0.0
Default gateway: ???.???.2n+1.254
Lease time : 86400 seconds
Renewal time: 43198 seconds
Rebind time : 75598 seconds
Client State = 3, retry = 1
periodtimer = 77388, timer = 41422
flags = 2
Status:
Packet InCount: 3, OutCount: 5, DiscardCount: 0これは電源投入後初めてIPアドレスが更新された後約30分の状態です。 periodtimer+timer≒Renewal time+Rebind time となっていることが確認できると思います。 電源投入時からDHCPクライアントに関わる設定は触っていないので IPアドレスが無事更新できたことがこれからも確認できます。 RWINのバグの話しの続きです。 試しにどの程度無駄なパケットをルータが出しているのかカウントしてみました。
AP000740?> sys fil disp Drop 7325 Forward 89335 SetNotConfig 0 SetNotActive 0 NonRuleMatch 0 InvalidSet 0 GenMatch 14650 GenNotMatch 89335 IpMatch 0 IpDefaultMatch 0 IpDefaultNotMatch 0 IpSourceAddr 0 IpDestAddr 0 IpSourceRoute 0 IpTcpConn 0 IpSourcePort 0 IpDestPort 0 IpProtocol 0 IpxMatch 0 IpxDefaultMatch 0 IpxDefaultNotMatch 0 IpxPacketType 0 IpxDestNetwork 0 IpxDestNode 0 IpxDestSocket 0 IpxSourceNetwork 0 IpxSourceNode 0 IpxSourceSocket 0 IpxOpCode 0
TCP、かつ、RWIN=2048でackと言う風にmoreを使ってフィルタリングを してカウントしたのでGenMatchの数がDropしたパケット数の2倍になってます。 これは私の例に過ぎませんが、ルータから出て行くパケットのうち 7325/(7325+89335)=7.58% が無駄なパケットだったことになります。 これが多いのか少ないのかはわかりませんがバグフィックスを待ちたいと思います。
May 20th, 2003 sys rebootで再起動後、謎のfirewall logが残っていました。
126|May 20 03 |From:128.105.39.11 To:192.168.11.1 |info |forward | 01:03:04 |TCP src port:00123 dest port:00123 |time initialize |
NTPのようです。 でも128.105.39.11というNTPサーバーは知りません。 NTPサーバーは日本国内のものを指定してますので変です。 128.105.39.11は、ntp1.cs.wisc.eduでした。 調べてみますと、私の設定ミスが原因でした。 NTPのアドレスを間違え等によりNTPサーバーへアクセスできなかった時 自動で128.105.39.11のNTPサーバーで時計あわせをするようです。 これは従来のバージョンからあったものだと思われますが 意外と気がきいてますね。 ところで、このログについてですがもう1つ変です。 UDPであるにもかかわらずTCPとログには残ってます。 何故でしょう? Web上で見ることのできるログ(Menu 24.3.1,sys log disp)に追加がありました。
61 Tue May 20 22:46:55 2003 PP0d INFO DHCP server assigns 0xc0a80b02
DHCPサーバーがIPアドレスを割り当てた時にログが残るようになっていました。 今までもip dhcp enif0 stでIPアドレスの割り当てに関して 確認できましたが、ログに残る項目が増えることはいいでしょう。
May 18th, 2003 HTさんの掲示板への書き込みによると、 ReachDSLで24時間以上つないでいても 接続できなくなることはなかったそうです。 やっとバグフィックスされたのかもしれません。 iriaさんの掲示板への書き込みによると、 iria等のダウンロードツールで同時ダウンロード数を 多くしても問題なくなったようです。 この件についてもバグフィックスされたのかもしれません。
May 17th, 2003 RWINの件ですが、昨日の見解は間違えでした。すみません。 ちゃんと調べました。 BLR3-TX4Lがお馬鹿なことをしています。すなわちバグです。 firewall機能がonの時、 BLR3-TX4Lがsynを送りsyn,ackがサーバーから返ってきた後 何故かRWINの数字だけが違うもので他は全く同じackを2回出すことがあります。 私の環境では、RWINが2048のものとRWINがPCの設定によるものの2つでした。 前者のパケットが先にSpeedGuide.netに到達したがために、 あのような結果をもたらすと思われます。 ということで試しに次のフィルタをWAN側のoutputにいれてみました。 (IPアドレス取得方法がDHCPの場合のみ。PPPoEでは値が異なります。)
# A Type Filter Rules M m n - - ---- --------------------------------------------------------------- - - - 1 Y Gen Off=48, Len=2, Mask=ffff, Value=0800 N D F
SpeedGuide.netで調べてみると・・・ ちゃんとPCの設定どおりのRWINの値を示しました。 このフィルタリングで今BLR3-TX4Lを使ってますが特に問題はなさそうです。 細かいことが気になる人は、moreを使ってTCPのackに限定してもいいと思います。 むしろそうするべきかもしれません。送信すべきパケットをdropしてはまずいですし。 何故にこんなことがおこるのか私には理解不能です。 この不具合がおこす弊害は私には知識不足でわかりません。 わかる方は掲示板にお願いします。 HTさんが発見したのですが、Error Logも時刻が夏時間となってます。 syslogに関しては、正しい時刻で送られて来てます。 syslogネタで1つ。 firewallに関するものもとばせました。 またどのバージョンから対応になったのかはわかりませんが、 Error Logもとばせます。ただし何故かBLR3-TX4Lにtelnetで ログインした記録しかとれません。 firewallに関するsyslogなのですが、forwardまで教えてくれてしまうので ログがすごいことになってしまいます。 どなたかblockだけを記録できる方法を御存知ないですか?
May 16th, 2003 昨日うっかりMain Menuを載せるのを忘れてました。
BLR3-TX4L Main Menu
Getting Started Advanced Management
1. General Setup 21. Filter and Firewall Setup
2. WAN Setup 22. SNMP Configuration
3. LAN Setup 23. System Password
4. Internet Access Setup 24. System Maintenance
26. Schedule Setup
Advanced Applications
11. Remote Node Setup
12. Static Routing Setup
15. NAT Setup
99. Exit
Enter Menu Selection Number:21.がFilter Set ConfigurationからFilter and Firewall Setupに変わってます。
Menu 21 - Filter and Firewall Setup
1. Filter Setup
2. Firewall Setup
3. View Firewall Log
Enter Menu Selection Number: Menu 21.2 - Firewall Setup
The firewall protects against Denial of Service (DoS) attacks when
it is active.
Your network is vulnerable to attacks when the firewall is turned off.
Refer to the User's Guide for details about the firewall default
policies.
You may define additional Policy rules or modify existing ones but
please exercise extreme caution in doing so.
Active: Yes
You can use the Web Configurator to configure the firewall.
Press ENTER to Confirm or ESC to Cancel:
Press Space Bar to Toggle.掲示板へのHTさんの書きこみで気づいたのですが、 一見NTPでの時刻が直っているようにみえます。 しかし、実はまだおかしいんです。 Main Menu→21→3や、sys fire dispで見ることが出来るFirewallのログを見てみると、 未だ夏時間となってしまってます。 たぶん次のファームウェア公開の時には直してくれるでしょう。 掲示板へのみずおさんからの書きこみでRWINが2048になるというのがありました。 実際に、みずおさんがRWINをチェックした http://forums.speedguide.net:8117/で見てみると私の環境でも同じでした。SpeedGuide.netの示す値があやしく感じたのでパケットキャプチャしてみました。 ちゃんとPCで設定したRWINが上限として使われていました。 というわけでSpeedGuide.netの示す値は誤りです。みずおさんのおっしゃるとおり 試しにBLR3-TX4LのFirewall機能を無効にしてみたところ、 SpeedGuide.netの示すRWINが正しく表示されました。両者のパケットを比較すれば原因がわかると思いますが面倒なのでやりません。 もし原因がわかった方がいらっしゃいましたら報告を掲示板へお願いします。不正アクセス検出機能についての検証の続きです。 昨日試した感想としては、期待外れというのが正直なところでした。 良い点としては、静的パケットフィルタリングを設定して syslogサーバーを立てていなくともログが残る点。 Webでの設定画面の不正アクセス検出機能についてのHelpを見てみると 不正アクセス検出機能を無効にするとダイナミック パケットフィルタリングも無効になるようです。 ダイナミックパケットフィルタリングが具体的にどう作用しているのかを 検証する知識がないのでその点を除いて期待外れということです。 昨日書いた事ですが、TCP ping scan, TCP NULL scan, TCP FIN scan, TCP XMAS scanを検出できませんから。 BLR-TX4MはTCP NULL scanを検出できました。 とりあえず、不正アクセス検出機能がいかなるものかもう一度検証してみたいと思います。 まずは、たんなるping。 MS-DOSでping -n 50 -l 1472 BLR3-TX4LのWAN側IPアドレスとしました。 ログはと言うと、
55|May 16 03 |From:pingを送ったPC To:WAN側IPアドレス |default policy |block | 21:29:00 |ICMP type:00008 code:00000 |<8,00> | 56|May 16 03 |From:pingを送ったPC To:WAN側IPアドレス |default policy |block | 21:29:01 |ICMP type:00008 code:00000 |<8,00> | 57|May 16 03 |From:pingを送ったPC To:WAN側IPアドレス |default policy |block | 21:29:02 |ICMP type:00008 code:00000 |<8,00> | 以下省略
ちゃんとログに残ってます。 次は、TCPフルコネクトスキャンを。 nmapで、引数は-P0 -sT -p21 BLR3-TX4LのWAN側IPアドレスとしました。
106|May 16 03 |From:PC To:WAN側IPアドレス |default policy |block | 21:32:06 |TCP src port:01030 dest port:00021 |<8,00> | 107|May 16 03 |From:PC To:WAN側IPアドレス |default policy |block | 21:32:09 |TCP src port:01030 dest port:00021 |<8,00> | 108|May 16 03 |From:PC To:WAN側IPアドレス |default policy |block | 21:32:12 |TCP src port:01031 dest port:00021 |<8,00> | 以下省略
ちゃんとログに残ってます。 TCPハーフコネクトスキャン。 nmap -P0 -sS -p21 BLR3-TX4LのWAN側IPアドレス
105|May 16 03 |From:PC To:WAN側IPアドレス |default policy |block | 21:30:44 |TCP src port:51050 dest port:00021 |<8,00> |
ログに残ってます。これは良い点ですね。 その後、FIN scan, Xmas scan, Null scanを試しましたがログには残りませんでした。 よくよく考えてみれば、ポートスキャンの検出がされなくとも DoS攻撃に対してちゃんと防御してくれれば良いわけです。 ということで、DoS攻撃をしてみて検証してみたいのですが私には知識がないので無理です。 静的パケットフィルタリングと、 不正アクセス検出機能の優先順位について調べてみました。 静的フィルタリングが優先され、静的フィルタリングでforwardされたものについて 不正アクセス検出機能がはたらくようです。
May 15th, 2003 readme.txtを見てみると、「DIAGランプ」が何度も使われているのですが BLR3-TX4Lには「DIAGランプ」はなくPowerランプが代用されてます。 意図したものであるのならば問題ないと思いますが、 BLR2-TX4L等と勘違いをしたのであれば修正をお願いします。 不正アクセス検出機能の検証を急ぎたいところですが、 お楽しみは最後にとっておきます。 telnetでのMain Menuは今回も残っていました。 どうもありがとうございます。
ras> sys version
RAS version: V3.61(CZ.0)b3 | 05/02/2003
romRasSize: 943664
system up time: ?:??:?? (a8666 ticks)
bootbase version: V1.12
RAS CODE: RAS May 02 2003 13:59:47
Product Model: BLR3-TX4L
ras> sys rn disp 1
Remote node[1]: ChangeMe
NAT option: SUA only.
NAIL-UP option: No
MTU: 1454
Block: No
ras> sys dir
blk: 2 adr: bfc06000 Length 8192 index 2 ver 12
dir: 2 ver: 12 size: 8188
boot RSV: 00032 CUR: 00012 PTR: 0x148
spt.dat RSV: 06832 CUR: 02878 PTR: 0x168
autoexec.net RSV: 00500 CUR: 00294 PTR: 0x1c18
Total bytes free : 4
blk: 1 adr: bfc04000 Length 8192 index 1 ver 1
dir: 1 ver: 1 size: 6472
dbgarea RSV: 06144 CUR: 00000 PTR: 0x148
Total bytes free : 1720
spare blk: 34 address: bfe00000, not a valid blk
ras> sys view autoexec.net
sys errctl 0
sys trcl level 5
sys trcl type 1180
sys trcp cr 96 128
sys trcl sw on
ip tcp mss 1024
ip tcp limit 2
ip tcp irtt 65000
ip tcp window 4
ip tcp ceiling 6000
ip rip activate
ip rip merge on
ip icmp disc enif0 off
ppp ipcp com off
sys wdog sw on
ip adjmss 1414
ip antip 1
sys stdio 10
ras> ?
Valid commands are:
sys exit device ether
poe pptp config ip
ppp
ras> sys
adjtime cbuf baud callhist
clear clock countrycode date
dir domainname edit enhanced
errctl event extraphnum feature
fid firewall firmware hostname
iface isr interrupt log
map mbuf memory memwrite
memutil model proc pwc
queue quit reboot reslog
rn stdio time timer
trcdisp trclog trcpacket syslog
version view wdog romreset
mrd server pwderrtm upnp
blr3 spt cmgr socket
filter ddns cpu
ras> device ?
channel dial
ras> ether
config driver version pkttest
test pncconfig mac acl1
acl2 edit
ras> config
display delete edit insert
retrieve save cli debug
ras> poe
debug retry status master
service dial drop channel
padt inout ippool ether
ras> device
channel dial
ras> pptp
debug dial drop tunnel
window rxTimeout queue
ras> ppp
bod ccp lcp ipcp
mp configure iface show
fsm delay
ras> ip
address alias aliasdis arp
dhcp dns httpd icmp
ifconfig ping pong route
smtp status adjTcp adjmss
udp rip tcp samenet
uninet tftp xparent antiprobe
urlfilter rpt stroute ident
igmp nat面白いものを見つけました。
Menu 12.1 - Edit IP Static Route
Route #: 1
Route Name= default
Active= No
Destination IP Address= 0.0.0.0
IP Subnet Mask= 0.0.0.0
Gateway IP Address= 210.63.180.126
Metric= 2
Private= No
Press ENTER to Confirm or ESC to Cancel:210.63.180.126とは何のIPアドレスなのでしょうか? 調べてみると、gw180.zyxel.com.twでした。 消し忘れたのかな? 消し忘れといえば、旧バージョンにもあったものを1つ。
ras> ip dns default Default DNS Server is 210.63.178.1
210.63.178.1は、dns3.zyxel.com.twです。 UPnPについてのコマンドがありました。
ras> sys upnp ?
active config display firewall
load save
ras> sys upnp disp
Active: No
Configuration through UPnP: Permit
Pass through Firewall: Permitras>sys log disp で表示されるものが若干変わっていました。 特に気を引かれたのは、
45 Sat Jan 01 00:00:12 2000 PP0d INFO DHCP client gets 0x????????
今まで10進数で表示され、文字数の制約からかIPアドレスが全て表示されていなかったのですが、 今回からは16進数で表示されるようになり、全て見ることが可能になりました。 これは良い点です。 コンテンツフィルタを使ってみました。ん〜おかしいです。 どれも機能している兆候を見せません。 次の更新時に期待します。設定をミスしてました。(16 May, 2003) 以下はコンテンツフィルタ関連のコマンド。
ras> ip url
exemptZone customize logDisplay debug
ras> ip url exemptZone display
exemptTypeFlag:
CYBER_NOT_POLICY_ALL: disable
CYBER_NOT_POLICY_INCLUDE: disable
CYBER_NOT_POLICY_EXCLUDE: enable
Exempt Range:
start IP ---- end IP
----------------------------------------
0.0.0.0 ---- 0.0.0.0
ras> ip url customize display
customizeActionFlag:
ENABLE_FILTER_LIST_CUSTOMIZATION: disable
DISABLE_ALL_WEB_TRAFFIC_EXCEPT_FOR_TRUSTED_DOMAINS: disable
BLOCK_JAVA_ACTIVEX_COOKIES_TO_TRUSTED_DOMAIN_SITES: disable
POLICY_ENABLE_KEYWORD_BLOCKING: disable
POLICY_LOG_NONE: disable
POLICY_LOG_BLOCK: disable
POLICY_LOG_ALLOW: disable
url string:
ras> ip url logDisplay
no log existing--------------さて、不正アクセス検出機能についてです。 検出機能と言っても、画面に表示されたりログが残ったりしない模様。 Web上では。 PC Flank http://www.pcflank.com/scanner1s.htm でBLR3-TX4Lにポートスキャンをしてみました。
ras> sys fire disp # Time Packet Information Reason Action 118|Jan 01 00 |From:195.131.4.164 To:???.???.???.??? |default policy |block | 00:46:32 |UDP src port:37691 dest port:00001 |<8,00> | 119|Jan 01 00 |From:195.131.4.164 To:???.???.???.??? |default policy |block | 00:46:38 |UDP src port:37692 dest port:00001 |<8,00> | 120|Jan 01 00 |From:195.131.4.164 To:???.???.???.??? |default policy |block | 00:47:39 |UDP src port:48403 dest port:00001 |<8,00> | 121|Jan 01 00 |From:???.???.???.??? To:239.255.255.250 |default policy |block | 00:47:41 |UDP src port:01763 dest port:01900 |<8,00> | 122|Jan 01 00 |From:???.???.???.??? To:???.???.???.255 |default policy |block | 00:47:44 |UDP src port:00137 dest port:00137 |<8,00> | 123|Jan 01 00 |From:???.???.???.??? To:239.255.255.250 |default policy |block | 00:47:44 |UDP src port:01763 dest port:01900 |<8,00> | 124|Jan 01 00 |From:???.???.???.??? To:???.???.???.255 |default policy |block | 00:47:45 |UDP src port:00137 dest port:00137 |<8,00> | 125|Jan 01 00 |From:195.131.4.164 To:???.???.???.??? |default policy |block | 00:47:45 |UDP src port:48404 dest port:00001 |<8,00> | 126|Jan 01 00 |From:???.???.???.??? To:???.???.???.255 |default policy |block | 00:47:46 |UDP src port:00137 dest port:00137 |<8,00> | 127|Jan 01 00 |From:???.???.???.??? To:239.255.255.250 |default policy |block | 00:47:47 |UDP src port:01763 dest port:01900 |<8,00> | Clear Firewall Log (y/n):n
UDPに関してひっかかったようです。 セキュリティに関心がない方からの余計なパケットも検出されました。 それでは、更に Sygate Online Sservices http://scan.sygatetech.com/stealthscan.html でポートスキャンを。
ras> sys fire disp # Time Packet Information Reason Action 31|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:26 |TCP src port:00053 dest port:00059 |<8,00> | 32|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:26 |TCP src port:00053 dest port:00025 |<8,00> | 33|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:26 |TCP src port:00053 dest port:00079 |<8,00> | 34|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:26 |TCP src port:00053 dest port:00020 |<8,00> | 35|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:26 |TCP src port:00053 dest port:00021 |<8,00> | 36|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:26 |TCP src port:00053 dest port:00022 |<8,00> | 37|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:26 |TCP src port:00053 dest port:00023 |<8,00> | 38|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:26 |TCP src port:00053 dest port:00053 |<8,00> | 39|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:32 |TCP src port:00054 dest port:00059 |<8,00> | 40|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:32 |TCP src port:00054 dest port:00025 |<8,00> | 41|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:32 |TCP src port:00054 dest port:00079 |<8,00> | 42|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:32 |TCP src port:00054 dest port:00020 |<8,00> | 43|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:32 |TCP src port:00054 dest port:00021 |<8,00> | 44|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:32 |TCP src port:00054 dest port:00022 |<8,00> | 45|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:32 |TCP src port:00054 dest port:00023 |<8,00> | 46|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:32 |TCP src port:00054 dest port:00053 |<8,00> | 47|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:38 |TCP src port:00080 dest port:00053 |<8,00> | 48|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:38 |TCP src port:00080 dest port:00079 |<8,00> | 49|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:38 |TCP src port:00080 dest port:00023 |<8,00> | 50|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:38 |TCP src port:00080 dest port:00022 |<8,00> | 51|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:38 |TCP src port:00080 dest port:00020 |<8,00> | 52|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:38 |TCP src port:00080 dest port:00021 |<8,00> | 53|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:38 |TCP src port:00080 dest port:00025 |<8,00> | 54|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:38 |TCP src port:00080 dest port:00059 |<8,00> | 55|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:45 |TCP src port:00081 dest port:00053 |<8,00> | 56|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:45 |TCP src port:00081 dest port:00079 |<8,00> | 57|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:45 |TCP src port:00081 dest port:00023 |<8,00> | 58|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:45 |TCP src port:00081 dest port:00022 |<8,00> | 59|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:45 |TCP src port:00081 dest port:00020 |<8,00> | 60|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:45 |TCP src port:00081 dest port:00021 |<8,00> | 61|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:45 |TCP src port:00081 dest port:00025 |<8,00> | 62|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:45 |TCP src port:00081 dest port:00059 |<8,00> | 63|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:49 |TCP src port:00053 dest port:01080 |<8,00> | 64|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:49 |TCP src port:00053 dest port:00110 |<8,00> | 65|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:49 |TCP src port:00053 dest port:08080 |<8,00> | 66|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:49 |TCP src port:00053 dest port:00080 |<8,00> | 67|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:49 |TCP src port:00053 dest port:00113 |<8,00> | 68|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:49 |TCP src port:00053 dest port:00443 |<8,00> | 69|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:49 |TCP src port:00053 dest port:00445 |<8,00> | 80|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:49 |TCP src port:00053 dest port:00139 |<8,00> | 71|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:56 |TCP src port:00054 dest port:01080 |<8,00> | 72|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:56 |TCP src port:00054 dest port:00443 |<8,00> | 73|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:56 |TCP src port:00054 dest port:00110 |<8,00> | 74|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:56 |TCP src port:00054 dest port:08080 |<8,00> | 75|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:56 |TCP src port:00054 dest port:00080 |<8,00> | 76|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:56 |TCP src port:00054 dest port:00113 |<8,00> | 77|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:56 |TCP src port:00054 dest port:00139 |<8,00> | 78|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:53:56 |TCP src port:00054 dest port:00445 |<8,00> | 79|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:00 |TCP src port:00080 dest port:00139 |<8,00> | 80|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:00 |TCP src port:00080 dest port:00113 |<8,00> | 81|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:00 |TCP src port:00080 dest port:01080 |<8,00> | 82|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:00 |TCP src port:00080 dest port:00443 |<8,00> | 83|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:00 |TCP src port:00080 dest port:08080 |<8,00> | 84|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:00 |TCP src port:00080 dest port:00110 |<8,00> | 85|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:00 |TCP src port:00080 dest port:00445 |<8,00> | 86|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:00 |TCP src port:00080 dest port:00080 |<8,00> | 88|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:06 |TCP src port:00081 dest port:01080 |<8,00> | 89|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:06 |TCP src port:00081 dest port:00443 |<8,00> | 90|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:06 |TCP src port:00081 dest port:00139 |<8,00> | 91|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:06 |TCP src port:00081 dest port:00113 |<8,00> | 92|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:06 |TCP src port:00081 dest port:08080 |<8,00> | 93|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:06 |TCP src port:00081 dest port:00110 |<8,00> | 94|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:06 |TCP src port:00081 dest port:00445 |<8,00> | 95|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:06 |TCP src port:00081 dest port:00080 |<8,00> | 96|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:13 |TCP src port:00053 dest port:00002 |<8,00> | 97|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:13 |TCP src port:00053 dest port:00007 |<8,00> | 98|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:13 |TCP src port:00053 dest port:00008 |<8,00> | 99|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:13 |TCP src port:00053 dest port:12056 |<8,00> | 100|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:13 |TCP src port:00053 dest port:00004 |<8,00> | 101|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:13 |TCP src port:00053 dest port:00003 |<8,00> | 102|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:13 |TCP src port:00053 dest port:00005 |<8,00> | 103|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:13 |TCP src port:00053 dest port:00006 |<8,00> | 104|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:22 |TCP src port:00054 dest port:00002 |<8,00> | 105|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:22 |TCP src port:00054 dest port:00008 |<8,00> | 106|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:22 |TCP src port:00054 dest port:00007 |<8,00> | 107|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:22 |TCP src port:00054 dest port:12056 |<8,00> | 108|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:22 |TCP src port:00054 dest port:00004 |<8,00> | 109|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:22 |TCP src port:00054 dest port:00003 |<8,00> | 110|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:22 |TCP src port:00054 dest port:00005 |<8,00> | 111|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:22 |TCP src port:00054 dest port:00006 |<8,00> | 112|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:25 |TCP src port:00080 dest port:00005 |<8,00> | 113|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:25 |TCP src port00080 dest port:00004 |<8,00> | 114|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:25 |TCP src port:00080 dest port:00006 |<8,00> | 115|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:25 |TCP src port:00080 dest port:12056 |<8,00> | 116|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:25 |TCP src port:00080 dest port:00007 |<8,00> | 117|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:25 |TCP src port:00080 dest port:00008 |<8,00> | 118|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:25 |TCP src port:00080 dest port:00002 |<8,00> | 119|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:25 |TCP src port:00080 dest port:00003 |<8,00> | 120|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:33 |TCP src port:00081 dest port:12056 |<8,00> | 121|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:33 |TCP src port:00081 dest port:00005 |<8,00> | 122|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:33 |TCP src port:00081 dest port:00004 |<8,00> | 123|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:33 |TCP src port:00081 dest port:00006 |<8,00> | 124|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:33 |TCP src port:00081 dest port:00002 |<8,00> | 125|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:33 |TCP src port:00081 dest port:00007 |<8,00> | 126|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:33 |TCP src port:00081 dest port:00003 |<8,00> | 127|Jan 01 00 |From:207.33.111.37 To:???.???.???.??? |default policy |block | 00:54:33 |TCP src port:00081 dest port:00008 |<8,00> | Clear Firewall Log (y/n):n
たくさんログに残ると嬉しいものですね(笑) PC FlankのStealth TestではUDPしか検出されなかったことから、 以下のものは検出できないということになります。 (http://www.pcflank.com/scanner1s.htmより引用) ・TCP ping packet Description: An uniquely configured TCP packet with the ACK flag set to a probable port number ・TCP NULL packet Description: An uniquely configured TCP packet that contain a sequence number but no flags ・TCP FIN packet Description: The TCP FIN scanning is able to pass undetected through most personal firewalls, packet filters, and scan detection programs. The scan utilizes TCP packet with the FIN flag set to a probable port number. ・TCP XMAS packet Description: The TCP packet with the URG, PUSH(PSH) and FIN flags set to a probable port number. 無難そうなコマンドをいくつか見てみました。
ras> sys fire dyn disp
INDX|TTL |STUS|SRC IP PORT|DEST IP PORT
----------------------------------------------------------------------
ras> sys fire tcprst disp
TcpRstSend to port 113 = OFF
TcpRstSend = OFF
ras> sys fire icmp disp
block_icmp_code3 = OFF
ras> sys fire dos disp
smtp dos defender = OFF
ras> sys firewall acl disp
ACL Runtime Data for ACL Set Number: 1
Number of Rules: 0
ACL default permit (0=no, 1=yes): 1
ICMP Idle Timeout: 0
UDP Idle Timeout: 0
TCP SYN Wait Timeout: 0
TCP FIN Wait Timeout: 0
TCP Idle Timeout: 0
DNS Idle Timeout: 0
ACL Runtime Data for ACL Set Number: 2
Number of Rules: 0
ACL default permit (0=no, 1=yes): 0
ICMP Idle Timeout: 0
UDP Idle Timeout: 0
TCP SYN Wait Timeout: 0
TCP FIN Wait Timeout: 0
TCP Idle Timeout: 0
DNS Idle Timeout: 0
ACL Runtime Data for ACL Set Number: 7
Number of Rules: 0
ACL default permit (0=no, 1=yes): 1
ICMP Idle Timeout: 0
UDP Idle Timeout: 0
TCP SYN Wait Timeout: 0
TCP FIN Wait Timeout: 0
TCP Idle Timeout: 0
DNS Idle Timeout: 0
ACL Runtime Data for ACL Set Number: 8
Number of Rules: 1
ACL default permit (0=no, 1=yes): 0
ICMP Idle Timeout: 0
UDP Idle Timeout: 0
TCP SYN Wait Timeout: 0
TCP FIN Wait Timeout: 0
TCP Idle Timeout: 0
DNS Idle Timeout: 0
Runtime Rule Number: 1<1>
active (0=no, 1=yes): 1
Permit (0=restrict, 1=allow): 1
Log (0=none, 1=match, 2=not-m, 3=both): 0
Alert (0=no, 1=yes): 0
Protocol: 0
Source IP Any: 1
Source IP Number of Single: 0
Source IP Number of Range: 0
Source IP Number of Subnet: 0
Dest IP Any: 1
Dest IP Number of Single: 0
Dest IP Number of Range: 0
Dest IP Number of Subnet: 0
TCP Source Port Any: 1
TCP Source Port Number of Single: 0
TCP Source Port Number of Range: 0
UDP Source Port Any: 1
UDP Source Port Number of Single: 0
UDP Source Port Number of Range: 0
TCP Dest Port Any: 0
TCP Dest Port Number of Single: 0
TCP Dest Port Number of Range: 0
UDP Dest Port Any: 0
UDP Dest Port Number of Single: 2
UDP Dest Port Number of Range: 0
Dest Port Single Port[1]: 68
Dest Port Single Port[2]: 500
SA Index: 0
ACL Runtime Data for ACL Set Number: 0
Number of Rules: 0
ACL default permit (0=no, 1=yes): 0
ICMP Idle Timeout: 0
UDP Idle Timeout: 0
TCP SYN Wait Timeout: 0
TCP FIN Wait Timeout: 0
TCP Idle Timeout: 0
DNS Idle Timeout: 0
ACL Runtime Data for ACL Set Number: 0
Number of Rules: 0
ACL default permit (0=no, 1=yes): 0
ICMP Idle Timeout: 0
UDP Idle Timeout: 0
TCP SYN Wait Timeout: 0
TCP FIN Wait Timeout: 0
TCP Idle Timeout: 0
DNS Idle Timeout: 0
ACL Runtime Data for ACL Set Number: 0
Number of Rules: 0
ACL default permit (0=no, 1=yes): 0
ICMP Idle Timeout: 0
UDP Idle Timeout: 0
TCP SYN Wait Timeout: 0
TCP FIN Wait Timeout: 0
TCP Idle Timeout: 0
DNS Idle Timeout: 0
ACL Runtime Data for ACL Set Number: 0
Number of Rules: 0
ACL default permit (0=no, 1=yes): 0
ICMP Idle Timeout: 0
UDP Idle Timeout: 0
TCP SYN Wait Timeout: 0
TCP FIN Wait Timeout: 0
TCP Idle Timeout: 0
DNS Idle Timeout: 0
ras> sys fire cnt disp
ICMP Idle Timeout: 4 UDP Idle Timeout: 244
TCP Idle Timeout: 0 TCP SYN Idle Timeout: 0
TCP FIN Idle Timeout: 0
Land Attack: 0 IP Spoof Attack: 4←検出されてますね〜
ICMP Echo Attack: 0 ICMP Attack: 0
Netbios Attack: 0 Trace Route Attack: 0
Tear Drop Attack: 0 Syn Flood Attack: 0
SMTP Attack: 0
ACL name: ACL Default Set
Blocks: 0 Minute High: 0
Max Incomplete High: 0 TCP Max Incomplete: 7
ACL name: ACL Default Set
Blocks: 0 Minute High: 0
Max Incomplete High: 0 TCP Max Incomplete: 0
ACL name: ACL Default Set
Blocks: 0 Minute High: 0
Max Incomplete High: 0 TCP Max Incomplete: 0
ACL name: ACL Default Set
Blocks: 0 Minute High: 0
Max Incomplete High: 0 TCP Max Incomplete: 0
ras> config disp fire
Firewall Active: Yes
e-mail:
mail-server: 0.0.0.0
return-addr:
email-to:
subject:
policy: full
attack:
send-alert: no
block: no
minute-high: 100
minute-low: 80
max-incomplete-high: 100
max-incomplete-low: 80
tcp-max-incomplete: 10
ACL set number: 1(LAN to WAN)
ACL set name: ACL Default Set
ACL set number of rules: 0
ACL set default permit: forward
ACL pnc enable: yes
ACL log enable: no
ACL set timeout values:
ICMP idle timeout (s): 60
UDP idle timeout (s): 60
TCP connection timeout (s): 30
TCP FIN-wait timeout (s): 60
TCP idle timeout (s): 3600
ACL set number: 2(WAN to LAN)
ACL set name: ACL Default Set
ACL set number of rules: 0
ACL set default permit: block
ACL pnc enable: no
ACL log enable: yes
ACL set timeout values:
ICMP idle timeout (s): 60
UDP idle timeout (s): 60
TCP connection timeout (s): 30
TCP FIN-wait timeout (s): 60
TCP idle timeout (s): 3600
ACL set number: 7(LAN to LAN/ZyWALL)
ACL set name: ACL Default Set
ACL set number of rules: 0
ACL set default permit: forward
ACL pnc enable: no
ACL log enable: no
ACL set timeout values:
ICMP idle timeout (s): 60
UDP idle timeout (s): 60
TCP connection timeout (s): 30
TCP FIN-wait timeout (s): 60
TCP idle timeout (s): 3600
ACL set number: 8(WAN to WAN/ZyWALL)
ACL set name: ACL Default Set
ACL set number of rules: 1
ACL set default permit: block
ACL pnc enable: no
ACL log enable: yes
ACL set timeout values:
ICMP idle timeout (s): 60
UDP idle timeout (s): 60
TCP connection timeout (s): 30
TCP FIN-wait timeout (s): 60
TCP idle timeout (s): 3600
ACL rule number: 1
ACL rule active: yes
ACL rule permit: forward
ACL rule protocol: 0
ACL rule log: none
ACL rule alert: no
UDP destination port number(s): 68, 500
ras> sys fire dyn disp
INDX|TTL |STUS|SRC IP PORT|DEST IP PORT
----------------------------------------------------------------------っ