スポンサーサイト

 --------
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
カテゴリ :スポンサー広告 トラックバック(-) コメント(-)
タグ :

光BBユニットにIPv6パケットフィルタがついてた

 2014-03-29
以前、Yahoo!BBのIPV6高速ハイブリッドについて
光BBユニットは、IPv6は丸見え素通しの危ないルーター」と書いた事がある。

結論から言えば「自分で頑張ったのに、よく見たら先週YBB側が改善しとった orz」
という話だが、まぁ。


【対策概要】
まず、なぜ丸裸かと言えば
 ・光BBユニット自体にはIPv6パケットフィルタ機能がない
 ・親回線側のNTT光ルータにはIPv6パケットフィルタ機能があるのに、
  なんとその機能を殺せというのがYBBの指示。
  光BBユニットを、YBB側から勝手にUpdate・操作可能にするためだそうな。


で、これにたいする対策は
・全クライアント機器のIPv6を切る(設定不可能なiPhone/Androidは丸裸のまま
・親回線側のNTT光ルータ側のIPv6フィルタを、正しく設定する(設定内容はgoogle先生でも出てこないという!)

しかなかったわけで。
前者で凌いでいたが、土曜日暇だったので
後者を設定した。


【対策の実際】
正しくNTT光ルータのIPv6フィルタを設定するとして
やり方の概念は簡単な話。
 1:どうにかして光BBユニットのipv6アドレスを調べる(パケットログが取れる機器があれば楽だ)
 2:NTT光ルータのIPv6フィルタについて、光BBユニット向けだけALL許可・それ以外の全アドレスを拒否にセットする

IPv4でのアクセスは、
すべて光BBユニットで「光BBユニット発信のIPv6パケット」に変換されてるので
これで問題ないわけだ
(IPv4のフィルタリング・・実質NATだが・・・は普通に光BBユニットでできる)


問題は、光BBユニットのIPv6アドレス調査方法。
 ・光BBユニットの設定画面には出てこない(かった、というべきだが・・・最後に記述)
 ・クライアント機器側でIPv6ゲートウェイを調べれば出るが、それはWAN側でも同じという保証はない
 ・クライアント機器側でDNS以下略同文!

要するに、真面目に「光BBユニットのWAN側通信を監視する」しかないのだが
パケットログ取る機器なんぞ持ってないので
必殺技として
NTTの光ルータで「IPv6全拒否にして、そのセキュリティログを取る設定にする」
結果、当然だけど取れましたよ。光BBユニットのIPv6アドレスが。
(ちなみにそのアドレスはみだりに公開してはならないと思われるので、書きません)

あとはアドレスが正しいかのテスト。
仮に機器アドレスを[::wwww:xxxx:yyyy:zzzz]としよう。
NTT光ルータにPCをつなげば、光BBユニットのWAN側にアクセスできるので
IPv6 pingでも打てばよろしい。
もちろんグローバル割り当てアドレスは適当に調べておくこと。

 Linuxなら # ping6 -I eth0 aaaa:bbbb:cccc:dddd:wwww:xxxx:yyyy:zzzz
 Windows7は ping -6 [aaaa:bbbb:cccc:dddd:wwww:xxxx:yyyy:zzzz]

OKなら後はNTTルータのIPv6パケットフィルタをセットして
 1:全部通信拒否ってみる。光BBユニット経由ではIPv4まで全部使えなくなるのを確認する。
 2:光BBユニット宛だけ全許可。光BBユニット発も全許可。
 3:IPv4の復活と、相変わらずIPv6だけ死んでいるのを確認する。

これで問題ない!・・・・と思っていた。思っていたのだ。


【なんと2週間前にYBBが機能拡張してた】
作業中、光BBユニットの設定画面も出していたのだが
なんかそこに「私のIPv6アドレスはこれですよー」と表示が出ていたので
おかしいな、記憶違いかな、、、、と思っていた。


で、作業完了後に、ふと光BBユニットの設定画面を再度見回してみた。
そしたら・・・・・
IPv6パケットフィルタの画面が増えてるよ orz
どういうことだとYBBのサイトを漁ってみたら
「2014年3月19日(東京)に機能拡張しました」という記載が。

本日の作業、全部無駄でした orz
しかしこれで、根本的には良い方向になったわけで
YBBの光BBユニットは、IPv6丸見え素通し問題がなくなった
ということになった。


1年半も放置してたのはどうかと思うけどね。
スポンサーサイト
タグ :
≪ トップページへこのページの先頭へ  ≫
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。