FC2ブログ

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

Firewallで国ごとにアクセス制限を行う

 pfSenseには「CountryBlock」という、国ごとにアクセス制限できる便利な追加パッケージがあります。
 WiKiに簡単な使い方をまとめました。
 特に自鯖を立てている人には便利だと思います。

ドコモの料金を節約する方法 ~合算請求を個別請求にする

 ドコモ回線を複数契約していて合算請求している場合、請求を安くする方法があります。

 「請求を別々にして、すべての回線でeビリングを適用してください」とドコモショップでお願いすれば1回線あたり毎月105円安くすることができます。ファミリー割引もそのまま継続できます。例えば4回線を合算請求から個別請求に変更した場合、毎月315円・年間3780円も節約できます。

 なお、デメリットとしてドコモポイントが親回線に合算されなくなります。各回線ごとのポイントが毎月100ポイント以上発生しているのであれば損得をよく計算してみてください。(でも、毎月100ポイントまではなかなかたまらないですよね。)

 本来、請求をまとめたほうが安い感じはします。しかし、残念ながらドコモの合算請求の場合はeビリング(105円の割引)が回線ごとではなく、1請求にしか適用されないのでこんな逆転現象が出てきてしまいます。eビリングを回線数分割り引いてくれればこんなことにはならないので、ぜひとも改善してほしいものです。


SIP不正アクセス(port5060攻撃)関連の注意喚起

SIPポート(UDP/5060)への攻撃について、あちこちで注意喚起がされています。

警察庁「5060/UDP に対するアクセスの増加について」
読売新聞「So-netでIP電話不正利用」
ソフトエイジェンシー「ブレケケ・ソフトウェア製品をお使いの皆様へ緊急のお知らせ」(ちょっと古い)
ICOM「IP電話対応 VoIP製品に関する重要なお知らせ」
フュージョン「不正アクセスにご注意ください」

Snortを設置してみたら・・・インターネットには危険がいっぱい

 pfSenseでsnortを使ってみた

 やっぱりというべきか、うじゃうじゃと攻撃を検出してくれます。今日だけでざっとこんな感じ。
・ET WORM Allaple ICMP Sweep Ping Inbound A Network Trojan was Detected
・SQL version overflow attempt Attempted Administrator Privilege Gain
・ET POLICY Suspicious inbound to MSSQL port 1433 Potentially Bad Traffic
・ET POLICY Suspicious inbound to Oracle SQL port 1521 Potentially Bad Traffic
・ET SCAN Sipvicious Scan Attempted Information Leak
・ET COMPROMISED Known Compromised or Hostile Host Traffic TCP (115) Misc Attack

 インターネットって、やっぱり怖いですね((;゚Д゚)))

テーマ : 通信・回線・サーバー
ジャンル : コンピュータ


ひかり電話で国際通話をかけられないようにする

 voip-info.jp掲示板で、Asteriskに不正アクセスされて、国際電話を掛けられてとんでもない請求がやってきたという怖いお話が話題になっている。

 Asterisk側での対策としては、Allowguest=noにするとか、SIPユーザのパスワードを複雑にするとか、REGIST可能なIPアドレスレンジを設定しておくとか、ファイアウォールで5060に制限をかけておくとか、_010.をHangupにするといった対策が有効だ。
 ひかり電話をAsteriskにつなぎこんでいる場合には、NTT側で国際発信できないように申し込むこともできる。116に電話してNTT西日本に「ひかり電話で国際電話をかけられないようにしてください」と申し込めばOK。工事料金は無料とのこと。なお、追加番号を申し込んでいる場合、番号ごとに発信規制を設定できるらしい。国際電話を使わないのであれば、保険として申し込んでおく方がよいかも。
(NTT東日本はよくわかりません)

 ちなみに、ぷららフォンforフレッツにも同様の問い合わせをしてみたが、こちらは「国際電話だけかけられないようにはできません」とのこと。残念。

 
 

技術士マイナー部門の参考書はなぜ存在しない?

 技術士マイナー部門と言われる部門(情報工学部門とか・・・・)の二次試験対策の参考書は、ほとんどといっていいほど存在しません。理由は簡単で「受験者数が少ないから」。

 たとえば、情報工学部門だと平成21年度の受験生は643人、平成20年度は596人と非常に少ないのです。受験者が少ないということは、参考書を出しても部数が出ないため、採算ラインに乗せるのが苦しくなります。出版社もビジネスでやっている以上、採算ラインに乗らないのがわかっている書籍は出版できません。企画段階でボツになります。受験者数が600人・競合書籍がないと仮定しても1000部売るのは難しいでしょう。「20XX年度版」なんてのは到底無理な話です。しかも、技術士試験の場合選択科目というタコツボでさらに細分化されるというおまけまでついてきます。だから、マイナー部門の参考書は出版されないのです。

 参考までに、いくつかの部門の参考書をAmazonで探してみました。「技術士 部門名 二次」で新品が入手可能な検索結果件数です。カッコ内は平成21年度の受験人数です。

電気電子部門(1666人)→2件
農業部門(1161人)→0件
機械部門(1083人)→2件
応用理学(894人)→0件
衛生工学(748人)→0件
情報工学部門(643人)→0件
経営工学(179人)→0件

 受験者数が2000人以上の上下水道部門・建設部門・総合技術監理部門は探すのにそんなに苦労しません。どうやら、受験者1000人というのが最低ラインのようです(農業部門は微妙)。

pfsenseメモ:OpenVPNを使うとtunインターフェースにNAPTがかかってた

 pfSenseのOpenVPNを使ってLAN間接続を試したが、どうも接続が中途半端。特にSIPが怪しくて、VPNの先にあるSIP電話機が片通話になったり、発信できるけど着信できなかったりした。

 原因は、pfSenseのtunインターフェースから出るパケットにNAPTがかかってしまっていたこと。VPNの向こうで見ると、SourceAddressがpfSenseのtun0に割り当てられたIPアドレスに置換されて出てきてしまっている。

 「Firewall > NAT」のOutbound設定ををAutomaticからManualに変更すると、VPN間はNAPTがかからなくなったが、今度はインターネット(WAN)側のPortForwardの動きが怪しくなってしまった。パケットが通過したログは残っているのに、LAN側IFでtcpdumpしてもパケットが出てこないのだ。

 どうも、pfSenseのNAPT周りの実装(特にManualにしたとき)が怪しい気がする。

★追記・・・・・・解決!
 
・原因
 NATをManualにしたときにパケットが次のように化けてしまう。Asteriskから出て行ったUDPパケット(Source5060)が、NAPTで出ていく時にSourcePortが5060ではなく別の番号に化けて出て行っていた。Autoの場合は5060のままだったのでここに差異があった。
 NATのOutboundをAutoからManualにした場合、PortForward設定とNAPTの戻りパケットが競合してしまっていたらしい。

・対策
 OutboundNATの設定で、特定のアドレス間でNoNAT行のPORT固定設定を突っ込む。ここの設定は上から評価されるようなので、できるだけ上に設定することに注意。

NAPT不具合



Androidメモ:画面キャプチャの取り方

Android機のUSBデバッグを有効にしてUSBケーブルでパソコンとつなぐ。AndroidSDKをインストールしたパソコンでddmsを使うと画面キャプチャが取れる。

pfSenseのロードバランサー機能を試してみる

 pfSenseのロードバランサー機能を試してみた。くわしくはこちらのWikiで。

 結論としては、あまり使えなさそう。理由は、
・セッション振り分けのアルゴリズム(IPハッシュとか・・)が設定できない。
・セッション維持機能がない
の二つ。

設定自体はものすごくシンプルで、あっさり動きます。
動的コンテンツのないWebサーバの負荷分散ぐらいにしか使えなさそうです。残念。


テーマ : 通信・回線・サーバー
ジャンル : コンピュータ

tag : pfSense



カテゴリ


最新記事

月別アーカイブ

最新コメント

最新トラックバック









上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。