[opensuse-ja] ルーターの設定アドレスへのアクセス規制を行いたい。
皆さん、こんにちは。Quantum1です。 前回はありがとうございました。 ルーターのサブネット内に接続しているノートコンピュータが、ルーターの設定 を行うWebサーバにアクセスするのを規制したいと思っています。 例えばルーターのWebサーバのアドレスを192.168.0.1として、そのコンピュータ をnote1とします。note1からルーターの設定をする必要ありません。ですので、 他のWebブラウジングは保持しつつ、全てのアプリケーションから192.168.0.1へ のアクセスを禁止できないでしょうか?そのルータは80以外のポートに変更する ことはできなさそうです。 note1全体としてでも良いのですが、note1の特定のアカウントのみ 192.168.0.1:80へアクセスさせないことができればもっと良いです。しかしそれ をするには、僕のスキルと理解力では無理そうだなあと思っています。 この数週間yast2のfirewallやsysconfigeditor-networkについて検索したり、 /usr/share/doc/manual/内を読んで設定に挑戦したりしましたが、未だできま せん。ルーター自体はパスワードをかけてありますから、アドレスにアクセスで きるからといってすぐにルータ設定画面ログインできるわけではありません。 以下はこれまで行ったり思ってみたことです。見当外れの可能性が高く、ただ長 くなってしまいそうですが、とりあえず記載します。 ------------- /etc/sysconfig/SuSEfirewall2内のFW_SERVICES_DROP_EXT以下をいろいろ設定し てみましたが、ダメでした。言葉でいうと、note1のアウトバウンド規制になる と思ってるのですが間違っているでしょうか? また、プロキシを通して規制するのかと思いsquidをインストールして以下の フォーラム記事を参考にしてみたのですが、やはりダメでした。 "Transparent squid proxy and SuSEfirewall2 - openSUSE Forums" ttp://forums.opensuse.org/network-internet/422477-transparent-squid-proxy-susefirewall2.html 試してみた2つは、SUSE boxをルーターやDHCPサーバとして使用するときのもの で、違うところを叩いているのではと思っています。 -------------- このように、したいことははっきりしているのですが、どこから作業をすれば良 いか分からないでいます。 SUSEのyast2のおかげで、なにかしたいことがあると、とりあえず設定できそう な項目とその説明にたどり着ける(CLIだと知っていないとたどり着けない)の で、助かります。 ご教示お願いできますでしょうか?よろしくお願いします。 -- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ja+help@opensuse.org
こんにちは、松本です。 -------- Original Message -------- Subject: [opensuse-ja] ルーターの設定アドレスへのアクセス規制を行いたい。 From: quantum1 <mb38i-quantum1@yahoo.com> To: opensuse-ja@opensuse.org Date: Tue Mar 30 2010 08:00:00 GMT+0900 (JST)
ルーターのサブネット内に接続しているノートコンピュータが、ルーターの設定 を行うWebサーバにアクセスするのを規制したいと思っています。
例えばルーターのWebサーバのアドレスを192.168.0.1として、そのコンピュータ をnote1とします。note1からルーターの設定をする必要ありません。ですので、 他のWebブラウジングは保持しつつ、全てのアプリケーションから192.168.0.1へ のアクセスを禁止できないでしょうか?そのルータは80以外のポートに変更する ことはできなさそうです。
note1全体としてでも良いのですが、note1の特定のアカウントのみ 192.168.0.1:80へアクセスさせないことができればもっと良いです。しかしそれ をするには、僕のスキルと理解力では無理そうだなあと思っています。
サクッと思いつくソリューションとしては… 1. LAN 内に別途プロキシサーバを立て、そこでフィルタリングを行う 2. 当該クライアント機で iptables を使って OUTPUT チェインを設定するよう なスクリプトを用意し、対象ユーザがログインしたら自動で実行されるよう に設定しておく …というような感じですかね。 ただ、どちらにしても、squid などプロキシサーバの設定や、使うフィルタリン グルールの設定方法、あるいは iptables の原理などをちゃんと理解しておく必 要があるので、けして「お手軽」ではないと思いますし、ML 内で事細かに設定 手順を説明するのはちょっと無理があります。おそらくイメージしているのは 「インストールして GUI を立ち上げ、ちょちょいと設定すれば設定完了」とい うソリューションなんだと思うのですが、私が知る限り無償で使えるようなソ リューションでそこまで簡単に設定できてしまうものはないと思います。 # 商用のものであれば、そういったソリューションもあるのかも…。 古い情報も残ってしまっていますが、参考までに…。 http://linux.softwaresearch.jp/new/class.php?144
この数週間yast2のfirewallやsysconfigeditor-networkについて検索したり、 /usr/share/doc/manual/内を読んで設定に挑戦したりしましたが、未だできま せん。ルーター自体はパスワードをかけてありますから、アドレスにアクセスで きるからといってすぐにルータ設定画面ログインできるわけではありません。
老婆心ながら、ルータにパスワードをかけてあるだけでは足りない、あるいはセ キュリティ的に不安が残るのはどういったケースですか? 要件はきっと「a. ルータの設定管理ができるユーザを特定したい」ということ であって「b. ルータ管理用 Web インターフェイスに接続できるクライアント/ ユーザを特定したい」ということではありませんよね? a. が本来の目的で、b. はそれを実現するためにはどうしたらいいかということ で思いついたソリューションの一つでしかないのに、それを取り違えてしまう と、本末転倒で無駄なことに労力をつぎ込むだけになりかねませんけど…。 こういった場合、クライアント側でなくルータ側でアクセスを制御する方が一般 的な解ではないかと思います。 まず、LAN 内でルータ設定を行うクライアントを特定できるなら、そのクライア ントに固定の IP アドレスを割り当て、ルータ側で管理インターフェイスにアク セスできるホワイトリストにその IP アドレスを登録する、というアプローチです。 # ルータの機種によってはそういった機能がないものもあるかもしれませんが、 # 私が秋葉原のジャンク屋で購入した 980円のルータにもあった設定項目だか # ら、だいたい備わっているんではなかろうかと勝手に推測してます。 それができないという事情がある、あるいは、それは承知のうえで、せっかくだ から openSUSE (or Linux) でどうしたらこういった目的が達せられるのか調べ てみたい (そこに山があるから登りたい…という発想ですね) ということですかね?
以下はこれまで行ったり思ってみたことです。見当外れの可能性が高く、ただ長 くなってしまいそうですが、とりあえず記載します。 ------------- /etc/sysconfig/SuSEfirewall2内のFW_SERVICES_DROP_EXT以下をいろいろ設定し てみましたが、ダメでした。言葉でいうと、note1のアウトバウンド規制になる と思ってるのですが間違っているでしょうか?
ここでいう _EXT の部分は、YaST2 から呼び出せる「ファイアウォールの設定」 の「インターフェイス」で「外部ゾーン」として設定してあるデバイスのこと で、そこに「入ってくる」接続要求のうち何を DROP するか決めるエントリです。 たとえば、YaST2 の /etc/sysconfig エディタから FW_SERVICES_DROP_EXT に "0/0,tcp,80" と書き込んで設定を保存した後、root 権限で # rcSuSEfirewall2 restart してから # iptables -L してみると、 Chain input_ext ルールの中に新たに DROP tcp -- anywhere anywhere tcp dpt:http state NEW …という行が加わっているのが分かると思います。 つまり、_ext に input されるパケットに対するルールとして追加されるわけです。 基本的に SuSEfirewall2 はサーバ、あるいはマスカレードが必要となるファイ アウォールやルータとして使う場合のことを想定しているので、クライアント機 として使い、お望みのような Web フィルタをかける設定をすることはできない のではないかと思います。
また、プロキシを通して規制するのかと思いsquidをインストールして以下の フォーラム記事を参考にしてみたのですが、やはりダメでした。 "Transparent squid proxy and SuSEfirewall2 - openSUSE Forums" ttp://forums.opensuse.org/network-internet/422477-transparent-squid-proxy-susefirewall2.html
試してみた2つは、SUSE boxをルーターやDHCPサーバとして使用するときのもの で、違うところを叩いているのではと思っています。
ご推察の通り、上記フォーラムのスレッドは、NIC 2枚刺しのマシンを squid で 透過プロキシサーバとして動作させるための SuSEfirewall2 の設定が話題と なっていますので、今回やりたいこととは違いますね。 # ちなみに、http を ttp とするのは 2ch あたりではお作法のようになってい # るみたいですが、直リンク禁止と謳われている URL を晒すのではない限り、 # ML 内では特にそういった配慮は必要ないと思いますよ。…ていうか、いちい # ちコピってブラウザのアドレス欄に貼り付け、頭に h を加えないといけない # のは面倒なので…。 # 少なくとも、行き先が *.opensuse.org であるなら、URL そのまま晒しても問 # 題ありません。
このように、したいことははっきりしているのですが、どこから作業をすれば良 いか分からないでいます。
SUSEのyast2のおかげで、なにかしたいことがあると、とりあえず設定できそう な項目とその説明にたどり着ける(CLIだと知っていないとたどり着けない)の で、助かります。
ご教示お願いできますでしょうか?よろしくお願いします。
ずいぶん自分で調べ、勉強されているようですね。:-) 最近は Google vs 中国の問題で一般にも Web フィルタリングのことが知られる ようになり、また、都条例改定にまつわる議論でもコンテンツフィルタについて 話題になるなど、デスクトップクライアントとして Linux を使ううえで今後は 避けて通れない問題だと思うんですが、これまで Linux だとパーソナルファイ アウォールのようなものはあまり必要とされてこなかったこともあり、まだまだ 使いやすい決定版のソリューションというものはないようです。 一発で簡単に解決できるソリューションはないかもしれませんが、上でも書いた ようにいくつか方法は考えられそうです。何はともあれルータ管理インターフェ イスへのアクセスを制御したい、ということならきっと他のアプローチの方がい いと思いますが、勉強がてらどんな方法がありうるのか調べてみたいということ でしたら、まず iptables 関連のドキュメントを基礎的な部分から読んでみてく ださい。 …そのうえで、(open)SUSE 特有の設定に由来して行き詰まった時はまた相談して みてくださいね。:-) -- _/_/ Satoru Matsumoto - openSUSE Member - Japan _/_/ _/_/ Marketing/Weekly News/openFATE Screening Team _/_/ _/_/ mail: helios_reds_at_gmx.net / irc: HeliosReds _/_/ _/_/ http://blog.geeko.jp/author/heliosreds _/_/ -- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ja+help@opensuse.org
松本さん、ご返信ありがとうございます。 数回コメントを読ませてもらいました。まだ教えてくださっていることをよく理 解できたとは思っていないのですが、返信させていただきます。 全体として、したいことを行うには、ルーターで行う方が良くて、ルーター以外 で規制するとしたら、ルーターとnote1の間にもう1台必要だということですね。 提示していただいたソリューションの2「当該クライアント機で iptables を 使って OUTPUT チェインを...」も1の「別途プロキシサーバを立てて」があっ ての話だと理解しました。ルーターのホワイトリストのことは知りませんでした。 /etc/sysconfig/SuSEfirewall2の設定も、ルーターとnote1の間にたてたコン ピュータでパケットフィルタを行うもので、note1が自身でプロキシサーバと なって、かつnote1自身のパケットもフィルタするものではないということが理 解できました。 「別途プロキシサーバを立てて」は計画にはありませんので、やはり違うところ を勉強していたようです。 FW_SERVICES_DROP_INTに"0/0,tcp,80"をいれてみたり、0/0に"localhost"とか "127.0.0.1"とかいろいろ入れてもダメだったんですね。 0/0の意味と使い方がいまひとつ分からないのですが、こういったことは iptablesの使い方から勉強をすれば良いのですね。 おっしゃるように、かなりの時間を使ってもどうも進展しているように思えな かったので、これから勉強する方向性を教えてくださり、感謝しています。 僕は自分でiptablesの設定をしたことがないのですが、SUSEに関連することでひ とつ先に教えてもらって良いでしょうか?SUSEのFirewallとsysconifg-network の設定は、iptablesに対してのコマンドということで良いのでしょうか?少し iptablesで検索したことがあるのですが、スクリプトなどを書いてiptablesを設 定した場合、SuSEfirewall2などが動かなくなることはないですか?注意点など を教えていただければ幸です。(松本さんが挙げてくださった例はとても参考に なります。少なくとも設定を変えるたんびにリブートしなくてもよいことが分か りました)。Firewall管理プログラムが標準でついていることは、自分にとって SUSEを使い続けている大きな理由の1つです。 以下はご質問いただいたことについてです。
おそらくイメージしているのは「インストールして GUI を立ち上げ、 ちょちょいと設定すれば設定完了」というソリューション...[snip] 長年のWindowsからの移行組なので、GUIに頼っているのは間違いないですが、簡 単ではないだろうとは思っていました。
要件はきっと「a. ルータの設定管理ができるユーザを特定したい」という ことであって「b. ルータ管理用 Web インターフェイスに接続できるクラ イアント/ユーザを特定したい」ということではありませんよね?[snip]
僕にaとbの違いがはっきりと分からないのが問題です。ホワイトリストの設定を 行うことによりbを行わなくてもaが出来るということを教えてくださっているの でしたら、ホワイトリストで僕の先ずのしたいことが出来ます。 ホワイトリストのことは知りませんでした。一見したところ自分のルータ(数年 前のlinksys)にはその機能はなさそうです。したいことは前回のメールの初め の2行ですので、おっしゃるとおりその機能がついているルーターに変えるのが 今回の先ずの解決になりそうです。早速調べ変更します。 bを行ってもaを満たしたことにはならない(今井さんがおっしゃっているのはこ れでしょうか)と教えてくださっているのでしたらご質問の意味を理解していな いことになります。
老婆心ながら、ルータにパスワードをかけてあるだけでは足りない、あるい はセキュリティ的に不安が残るのはどういったケースですか?..[snip] 気にかけてくださりありがとうございます。家庭内にあるコンピュータをLinux に変えようと思っています。コンピュータの設定を今は知らない、または今後も 設定は分からない家族が使うコンピュータの管理をしています。彼らが常時使う アカウントからはコンピュータの管理権限をできるだけそいでおこうと思ってい ます。彼らがルーターの設定をすることはありませんが、最悪アカウントが乗っ 取られた場合を想定していました。ですので「山があるから登りたい」というわ けではないです。前回質問させていただいたのも上記の理由からです。
他にも理由はいくつかありますが、優先順位は下がりますし、長くなるので控え ます(もうすでに長いですね)。 リンクのはりかたについてコメントありがとうございます。今後も常識的なこと で何かありましたら教えてください。常識的な事といえば、そもそも今までコン ピュータは市販ソフトを使うだけだった自分が家庭内にあるWindowsをLinuxにか える事自体が良くないことなのかとも少し思っています。 読んでいただき、ありがとうございました。 -- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ja+help@opensuse.org
松本です。 -------- Original Message -------- Subject: Re: [opensuse-ja] ルーターの設定アドレスへのアクセス規制を行い たい。 From: quantum1 <mb38i-quantum1@yahoo.com> To: opensuse-ja@opensuse.org Date: Wed Mar 31 2010 10:29:15 GMT+0900 (JST)
全体として、したいことを行うには、ルーターで行う方が良くて、ルーター以外 で規制するとしたら、ルーターとnote1の間にもう1台必要だということですね。 提示していただいたソリューションの2「当該クライアント機で iptables を 使って OUTPUT チェインを...」も1の「別途プロキシサーバを立てて」があっ ての話だと理解しました。ルーターのホワイトリストのことは知りませんでした。
2 の方は、note1 の方(中)で出て行くパケットをブロックしてしまおう…という ことなので、特にプロキシサーバは必要ありません。 先のメールでも例に挙げましたが、再度 # iptables -L してみてください。 (root 権限で。以下、コマンドを # から始めている場合は同) すると、 Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED [snip] というブロックがあると思います。これはつまり OUTPUT (出て行くパケット) は全て ACCEPT (素通し) という設定になっていることを意味しています。 ここの頭に、例えば target prot opt source destination DROP tcp -- anywhere 192.168.0.1 tcp dpt:http というような設定を加えることができれば「宛先が 192.168.0.1 の http ポー ト (80) となっている、出て行くパケットがあったら捨てる」ことができるはず です。 ただし、今井さんも指摘している通り、こういった設定をしたとしてもそれを迂 回する方法はいくつか思い浮かぶ(これは、ルータ側でブロックするような設定 にしたところで同じことが言えます)ので、そういう迂回方法についても対処し ておかないと意味がないんじゃないか、ということになってしまいます。でも、 そこまでがんじがらめにしなければいけないほど「脅威」を想定しなければいけ ないの? コスト(手間暇)をかける必要があるの?ということを考えた方がいい でしょう。 # ご家族の方が今井さんレベルの知識を身につける(^ ^;)、あるいは外から侵入 # (ネットワーク越しに、ということではなく、実際に家の中に入ってくる、と # 言う意味で)してきた攻撃者が今井さんレベルの知識を持っている(^ ^;)とい # うリスクが、現実的に考えてどれだけ起こり得ると見積もるの? 被害を受け # たときの損失と秤にかけて、手間暇かけるだけの価値はあるの?ということに # なりますね。 ということで、
老婆心ながら、ルータにパスワードをかけてあるだけでは足りない、あるい はセキュリティ的に不安が残るのはどういったケースですか?
という質問につながるわけです。
彼ら(ご家族)がルーターの設定をすることはありませんが、最悪アカウントが 乗っ取られた場合を想定していました。
ということですが、具体的に、誰にアカウントを乗っ取られることを想定してい るのでしょう? その場合はルータにパスワードをかけておいても無意味だと考 えているようですが、それはどうして? 外部からルータ(あるいは LAN)に入って来られることを心配するなら、まずはそ の経路をちゃんと潰すことを考えるべきでしょう。note1 からの接続を制限する 云々は、ずっと低い優先度になると思います。 あるいは、いつの間にか設定してあるパスワードがご家族に漏れ、いたずら半分 でいじられてしまうことを心配していますか? だとすれば、いかにパスワード が漏れないようにするかを考える方が先決でしょう。 また、外部から誰かが家に入ってきて、ルータの設定をいじるようなケースを想 定してたりしますか? ならば、その侵入者が必ず note1 を使ってルータに入ろ うとする、という根拠は? # というか、そもそも住居不法侵入という犯罪を犯してまで他人の家のルータの # 設定を変えようとする奇特な奴がいるとは想像できませんが(笑)。 …かように、ざっと考えただけで「もっと他に考えなければいけないことがある のに、なんで note1 からのアクセス制御にそれほどこだわるんだろうか? どう してパスワードだけでは足りないと考えてしまうの?」ということになるわけです。 で、繰り返しになりますが、それは承知のうえで、(open)SUSE (Linux) ではど うすればやりたいことができるのか…を調べてみたり、試してみたりすることは 全く否定していません。
/etc/sysconfig/SuSEfirewall2の設定も、ルーターとnote1の間にたてたコン ピュータでパケットフィルタを行うもので、note1が自身でプロキシサーバと なって、かつnote1自身のパケットもフィルタするものではないということが理 解できました。
大筋はそうです。厳密に言えば、1台のマシンの中で全部やってしまうことも可 能なんですが、今それを説明しようと思うと長くなるし、混乱させてしまうだけ だと思うので、一旦そう理解しておいてください。
FW_SERVICES_DROP_INTに"0/0,tcp,80"をいれてみたり、0/0に"localhost"とか "127.0.0.1"とかいろいろ入れてもダメだったんですね。 0/0の意味と使い方がいまひとつ分からないのですが、こういったことは iptablesの使い方から勉強をすれば良いのですね。
0/0 は、先ほどの iptables の例で言えば anywhere にあたります。このへん は、iptables の、と言うよりネットワークの説明で良く出てくる記述です。
FW_SERVICES_DROP_INTに"0/0,tcp,80"を入れてみる
ということの意味を分解しますと、 _INT (内部ゾーンとして設定してあるデバイス) に入ってくる、発信元 0/0 (= どこからのものであっても) で tcp 80 番ポート宛のパケットを DROP する …ということになります。この際の _EXT (外部ゾーン) _INT (内部ゾーン) とい うのは、NIC が複数刺さっているマシンをルータ的に使っている場合、それぞれ 外部ネットワークにつながっている方のカード (平たく言えば WAN 側)、内部 ネットワークにつながっている方のカード (平たく言えば LAN 側) を指してい るものと理解してください。
僕は自分でiptablesの設定をしたことがないのですが、SUSEに関連することでひ とつ先に教えてもらって良いでしょうか?SUSEのFirewallとsysconifg-network の設定は、iptablesに対してのコマンドということで良いのでしょうか?少し iptablesで検索したことがあるのですが、スクリプトなどを書いてiptablesを設 定した場合、SuSEfirewall2などが動かなくなることはないですか?注意点など を教えていただければ幸です。
大まかな理解としては、SuSEfirewall2 は iptables をいじるもの -- つまりパ ケットの出入りを制御するためのツールですが、/etc/sysconfig/network 以下 のファイルはネットワークの設定に関するファイル (固定 IP アドレスなのか、 DHCP で取得するアドレスなのか、ネットマスクは何ビットか、デフォルトゲー トウェイはどこなのか…といったこと) なので、そこらへんはごっちゃにしない でくださいね。 他のディストリビューションを使ったことのある人が (open)SUSE を使うことに なったときにハマりやすいというか、戸惑いやすいことの一つですが、手書きで 設定ファイルを編集し、保存しても、YaST2 からの設定 (YaST2 の /etc/sysconfig エディタで設定できるパラメータなど) がそれを上書きしてし まう、ということが起こります。ですから、(open)SUSE を使う場合には、YaST で設定できることは基本的に YaST 経由で設定しておいた方がいい、ということ を憶えておくといいでしょう。 また、他のディストリビューションを例にした iptables 関連の解説ドキュメン トを参考にすると、例えば「/etc/sysconfig/iptables ファイルを直接編集す る」といった方法が紹介されているのを見ることがあるでしょう。ところ が、(open)SUSE を覗いてみると、/etc/sysconfig/iptables というファイルは ないということが分かると思います。そういったことがいくつかあるので、一般 的な説明で基本的なことを押さえたら、(open)SUSE のドキュメントにも目を通 しておくと better ですね。 (open)SUSE は、100% とは言えないまでも、かなりの部分「Linux やその上で動 くアプリケーションについて深く知っていない人でも使える」ように細かい配慮 がなされているディストリビューションだと思います。 ただ、自分で一から設定を決められる、あるいは決めたいというような人、お仕 着せの仕様は要らないというような人にとっては、その「親切さ」が逆に「余計 なお世話」と感じられてしまうこともあるでしょう。誰にとっても使い易い…と いうのは目標として持ち続けていたいですが、openSUSE の特質やクセなどを理 解してもらったうえで、気に入っていただけるとありがたいです。
要件はきっと「a. ルータの設定管理ができるユーザを特定したい」という ことであって「b. ルータ管理用 Web インターフェイスに接続できるクラ イアント/ユーザを特定したい」ということではありませんよね?[snip]
僕にaとbの違いがはっきりと分からないのが問題です。
[snip]
bを行ってもaを満たしたことにはならない(今井さんがおっしゃっているのは これでしょうか)と教えてくださっているのでしたらご質問の意味を理解して いないことになります。
これは、リスクアセスメントとかリスクマネジメントに関わる問題です。ぶっ ちゃけて言うならば、一番の大切なことは「自分だけがルータの設定をいじれる ようにしたい」ということですよね? それが要件なのです。この目的を達成す るための方法として… ・ルータにアクセスする際のパスワードを設定し、他の人に知られないようにす る(1) ・ルータの管理画面インターフェイスを開けるクライアントを、自分しかログイ ンできないものに限定する(2) …といったことが想定されるわけですね。で、(1)で要件が満たせるのであれば、 別に(2)は必要ないわけです。もし(1)では足りないと判断するなら、(2)はさら にブレイクダウン可能で… ・自分しかログインできないクライアントからの接続のみを許可する(2-1) ・自分以外の者がログインする可能性のあるクライアントからの接続を拒否する (2-2) となります。論理的には同じことなんですが、実装する際の方法論が違ってくる ことは分かりますよね? # 実際にはここからさらに「(2-1)の場合、自分しかログインできないことを担 # 保するためにはどうしておかなければいけないか」といったようなことにブレ # イクダウンできます。 「b. ルータ管理用 Web インターフェイスに接続できるクライアント/ユーザを 特定したい」というのは、これでいう(2-2)に当たり、あくまで一つの「方法」 です。「a. ルータの設定管理ができるユーザを特定したい」(= 「自分だけが ルータの設定をいじれるようにしたい」)という「目的」とはレイヤーが違いま すね、というお話です。方法についてはいろいろ選択肢があるのに、どうして一 つの方法にこだわる必要があるのか?ということです。 今井さんが指摘されていることの要旨は『「b. ルータ管理用 Web インターフェ イスに接続できるクライアント/ユーザを特定したい」場合、note1 からの接続 要求をハネるだけでは十分ではなく、もっといろいろな可能性を考えなければい けなくなり、そこまでちゃんと設定しようとすると手間もかかるし利便性が犠牲 になることもある』ということになると思います。 # 勝手に要約してすいません。m(_'_)m > 今井さん
常識的な事といえば、そもそも今までコンピュータは市販ソフトを使うだけ だった自分が家庭内にあるWindowsをLinuxにかえる事自体が良くないことな のかとも少し思っています。
まだ世の中には「Windows でないとできないこと」もたくさん残っていますか ら、あまり無理/無茶はなさらないように。:-) どちらの方が優れているか…じゃなく、それぞれの利点/欠点を知り、結果として quantum1 さん及びご家族の皆さんが「やっぱり Linux の方がいいね」となって くれることを願ってます。 -- _/_/ Satoru Matsumoto - openSUSE Member - Japan _/_/ _/_/ Marketing/Weekly News/openFATE Screening Team _/_/ _/_/ mail: helios_reds_at_gmx.net / irc: HeliosReds _/_/ _/_/ http://blog.geeko.jp/author/heliosreds _/_/ -- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ja+help@opensuse.org
松本さん SuSEfirewall2をとおしてiptablesを設定するさいの注意点を教えてくださりあ りがとうございます。_EXTと_INTの意味が理解出来ました。 ルーターのセキュリティに関して、考え方と対処法の優先順位をわかりやすく説 明してくださり、ありがとうございます。おっしゃるように、表題にあることを 設定するのに、どうも勘違いしているところを掘り下げているように思っていま した。SuSEfirewall2の設定をするところで行き詰まってしまったものですか ら、今回MLに送らさせていただいた次第です。 前回のメールで申し上げたように、表題にあることの対処法としては、松本さん が教えてくれたホワイトリストのあるルーターに変更します。 またnote1からのアクセス規制の前に他にたくさん行うことがあることも理解し ました。前回こだわっているような表現になっていたとしたら申し訳ありません でした。「その前に行うこと」をもう一度見直してみます。 Quantum1 -- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ja+help@opensuse.org
今井です。 (2010年03月30日 08:00), quantum1 wrote:
ルーターのサブネット内に接続しているノートコンピュータが、ルーターの設定 を行うWebサーバにアクセスするのを規制したいと思っています。
例えばルーターのWebサーバのアドレスを192.168.0.1として、そのコンピュータ をnote1とします。note1からルーターの設定をする必要ありません。ですので、 他のWebブラウジングは保持しつつ、全てのアプリケーションから192.168.0.1へ のアクセスを禁止できないでしょうか?そのルータは80以外のポートに変更する ことはできなさそうです。
note1全体としてでも良いのですが、note1の特定のアカウントのみ 192.168.0.1:80へアクセスさせないことができればもっと良いです。しかしそれ をするには、僕のスキルと理解力では無理そうだなあと思っています。
全てのアプリで.... となれば松本さんも書かれていますが、 プロキシ経由でやる(出入り口を絞る)とかのほうが良いような。 というのも、X(X Window)自体の緩さというか柔軟さにより、 例えnote1でWebブラウズによるルータへのアクセスを禁止したとしても、 他のホストでルータにアクセスして、結果(ブラウズ)のみnote1へ表示と いう事も可能なので。 で、それを禁止しても更に逃げ道があって....。 プロキシでやる方法ですが、 状況的には 特定のWebサイトへのアクセスをブロックする ことなので、 表現を変えれば 「有害Webサイトのブロック(有害Webサイトのフィルタリング)」 とほぼ同じなんではないかと思います。 で、 「プロキシサーバ」、「有害Webサイト」辺りをキーワードに 探してみるとヒントが得られるんじゃないでしょうか。 もっもこの場合、プロキシを必ず通す様に(通さざるを得ないように) しておかないとダメなわけですけど。 ただあんまりガチガチにやっちゃうと後々困る事もあるので、 ほどほどにしておいた方が良いと思います。 例えばnote1しかルータにアクセスできなくなった状況になった 場合とか「宝箱の中の鍵」にならない様にしておかないと...。 -- /***********************************/ /* Masaru Imai (mforce4@gmail.com) */ /***********************************/ -- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ja+help@opensuse.org
今井さん、ご返信ありがとうございます。 松本さんへの返事で書きましたが、note1をプロキシにしてかつnote1自身からの アウトバウンド規制はできそうもないということなので、今の段階でルータと note1の間にもう1台コンピュータを入れるのは無理そうです。プロキシサーバを ルータ内に立ち上げるのは将来の課題とします。 次のパラグラフで教えてくださった「他のホストでルータにアクセスして、」の 「他のホスト」とはLAN内にある「他のコンピュータ」のことで良いですか? (WAN側のということではないですよね??ルーターのリモートアクセスはオフ にしています)。それとも「note1の他のホストネーム」ということですか?理 解できずに申し訳ありません。 教えてくださった検索時のキーワードを少し試しました。結果として出てくるサ イトをクリックして良いかどうか相当神経を使いますが、いくつかとてもために なりそうなキーワードをいくつか見つけました。方向を示してくださりありがと うございます。行いたいことの1つはいわゆるペアレントコントロールでもある ので、続けて検索してみます。
「宝箱の中の鍵」にならない様にしておかないと...。 これは何回もやっています。その度にWAN側をルータから外してリセットボタン を押しています。
今後ともよろしくお願い致します。 -- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ja+help@opensuse.org
participants (3)
-
Masaru Imai -
quantum1 -
Satoru Matsumoto