ささの備忘録

ITインフラSEの備忘録です。ITインフラを中心にしつつ、猫、DIY、バイク、バレーの話をします

YAMAHAルーターのLANフィルター設定

先日、仕事でYAMAHAルーターを触る機会があり、フィルター設定をしたのですが、「in」「out」が、よく分からなくなってしまったので、今回整理する意味も込めて、簡単にですが確認してみました

使用したのは、以前ヤフオクで購入した「RTX32」です。あと、人から譲り受けた「RTX1100」を使用しました
IMG_20180922_090750


以下のような構成を作ってみました
yamaha01

今回、RTX32のLAN1でフィルターをかけてみたいと思います
yamaha02


・「OUTフィルター」をかける

「outフィルター」は、LAN1から出ていく方向にかかります
yamaha03

試しに、図の左側にある、「192.168.3.0/24」へのみ、通信を許可するフィルターを設定します。以下です。最後の「ip filter 100 reject * *」はなくてもOKです

ip lan1 secure filter out 20 100

ip filter 20 pass 192.168.3.0/24 *
(ip filter 100 reject * *)

暗黙のDenyがある


pingを使って、動作確認をすると、「192.168.3.0/24」のPCへ疎通が確認できました
「192.168.4.0/24」のPCへは疎通不可
yamaha04


「INフィルター」をかける

inフィルター」は、LAN1に入っていく方向にかかります
yamaha05

先程と同じように、図の左側にある、「192.168.3.0/24」へのみ、通信を許可するフィルターを設定します。以下です。同じく最後の「ip filter 100 reject * *」はなくてもOKです

ip lan1 secure filter in 20

ip filter 20 pass * 192.168.3.0/24

(ip filter 100 reject * *)
暗黙のDenyがある


pingを使って、動作確認をすると、「192.168.3.0/24」のPCへ疎通が確認できました
「192.168.4.0/24」のPCへは疎通不可
yamaha06

こんな感じです。
今回は方向だけを確認しました。
次回は、もう少し細かく動作を確認してみたいと思います

FortiGateのSSLインスペクションで『deep-inspection』を使う

自宅で使っている、Fortigate 60dで、『deep-inspection』を試してみました

導入後、ずっと『certificate-inspection』で使っていましたが、いつか換えないとと思っていました。それぞれの違いは、以下です

・『certificate-inspection』
 SSL/TLSで暗号化された、通信のセッション確立時に実施されるSSLハンドシェイクで、証明書のコモンネームを確認し、WebフィルタのFortiGuardカテゴリで許可された宛先URLか照会します。なお、certificate-inspectionは暗号化された通信の復号化を実施しないため、certificate-inspectionとアンチウイルスの組み合わせではHTTPSからダウンロードしたファイルのスキャンは実施されません。
・『deep-inspection』
 SSL/TLSで暗号化された通信をFortiGate上で復号化しスキャンを実施します。

やはり、今どき、ほぼ「SSL通信」なので、『deep-inspection』にすべきです

しかし、問題が2点あります
<問題>
1.全ての暗号化された通信を復号化してスキャンするため、FortiGateに高い負荷がかる
2.クライアントで証明書エラーが発生する


自宅で使うので、1.は我慢するとして、2.はどうにかする必要がありました

試してみましたので、以下に手順を記載します

・Fortigateより証明書をダウンロードする

Fortigate管理画面の「システム」ー「証明書」をクリック、「Fortinet-CA_SSL」を選択し、「ダウンロード」をクリックします
※もし「証明書」が表示されていない場合は、「フューチャー選択」で追加してください
deep1


・ダウンロードされた「証明書」をインストール

ダウンロードされた、「証明書ファイル」を、クライントPCでダブルクリックします
deep2

証明書ファイルが開きますので、「証明書のインストール」をクリックします
deep3

証明書のインストールウィザードが起動します。保存場所は「ローカルコンピューター」を選択します
deppe4


「証明書をすべて次のストアへ配置する」を選択、ストアは「信頼されたルート証明機関」を選択します
deep5

「完了」をクリックし、証明書をインストールします
deep6

deep7

以上で証明書のインストールが完了しました

以後、『deep-inspection』を選択しても、証明書エラーの表示は出なくなります

Windows Server 2016の『Windows Update』

先日、Windows Server 2016をさわっていて、気になる事がありました

それは、Windows Server 2016の『Windows Update』です

気になる点が2点あります

気になる点
・『Windows Update』を止められるか?
・詳細オプションにある『機能更新を延期する』を有効にした時どうなる?

です

それぞれ調べてみまみました

1.『Windows Update』を止められるか?

⇒止められるようです。
詳しくは、以下、「Technet」に記載がありました
https://blogs.technet.microsoft.com/jpwsus/2017/09/08/wecanstop-wu/

具体的には、グループポリシーで止めます。

手順1.「ファイル名を指定して実行」を選択して、「gpedit.msc」と入力
update11

手順2.[コンピューターの構成] - [管理用テンプレート] - [Windows コンポーネント] - [Windows Update]-[自動更新を構成するを ”無効”
update12

update13

update13


2.詳細オプション『機能更新を延期する』を有効にした時どうなるか?

⇒Windows Server 2016では機能更新が提供されないので、オプションは機能しない

こちらに「Technetフォーラム」に記載がありました
https://social.technet.microsoft.com/Forums/ja-JP/58d00955-886d-4507-8661-692e4bd559ed/windows?forum=winserver10TP

Windows10では、普通に提供されている「機能更新」ですが、ServerOSでは提供されてないですね

なるほど、言われて、あらためて気づきました。
勉強になります


スポンサードリンク
プロフィール

ささ

名前:ささ
千葉在住、転職の末、現在は事務機器系ITインフラを提供する会社にお世話になる、A型の強いAB型
最近、さくらももこさんがお亡くなりになった事が何よりショックでした。猫に相手にされるよう気を使い、嫁と娘たちにも気を使うこの頃。