PR-500KIの動作がおかしい3

セキュリティログに新たな仲間

もともと怪しかったPR-500KIのセキュリティログに新種が加わった。

1. 2022/8/4 18:58:15 SRC=fe80:0000:0000:0000:****:****:****:****/- DST=ff02:0000:0000:0000:0000:0000:0000:0001/- ICMPv6 table=filter

ログに残っているのはブリッジモードに設定したAterm WX3000HP2から発せられるICMPv6 Multicast Listener Queryなんだけど、1分毎に記録されるので2時間足らずで埋め尽くされログが全くもって役に立ちませんw

filter:外部から受信したパケットのうちパケットフィルタ設定の条件に一致して廃棄したパケット

PR-500KIのヘルプより

と書かれているにもかかわらずLAN→WANのフィルタに引っかかったヤツも table=filter と記録されるのはまあ、言葉のあやか何かだろうからヨシとして、ローカルのICMPv6をセキュリティリスクとしてログに残すという考えがいまいちわからん。

フィルタに何も設定していないのに table=filter のログが残るのは見えざるフィルタが設定されてんのか?

試しにICMPv6の双方向許可フィルタを設定してみたが、やはり ICMPv6 table=filter でログが残る。

なんか変なんだよね挙動が

何年越しか忘れたが、これを機に故障なのかバグなのか仕様なのか一体何なのかはっきりさせるぞと意気込むのだが、NTTの113は繋がらずweb113では失くすか燃えるかしないと受け付けて貰えないらしい・・・

web113

web113では複数の選択肢の組み合わせを試したが機器交換or出張修理申込に帰結してしまい、具体的な問い合わせには対応して貰えないようだ。このせいで電話窓口が激混みなんじゃねーの??

AtermのIPv6 マルチキャスト

ブリッジモードなのにICMPv6を飛ばすWX3000HP2もどうなのよと思いNECに問い合わせたところ、ブリッジモードでのマルチキャスト送信は「ひかりTV」対応のためだけに送信する仕様との事だった。

NTTドコモへの忖度機能か知らねえけど止める設定は用意されない模様。

パケットフィルタの検証

パケットフィルタがワケワカラン設定したとおりに働かないというのはセキュリティ上の懸念があるので、出来る範囲での検証をしてみる。

環境は、フレッツ光ネクスト+ひかり電話+PR-500KI+v6プラス

とりあえず、契約しているレンタルサーバーのIPアドレス 2403:3a00:201:1e:49:****:****:**** で拒否ルールを指定してセキュリティログの挙動を確かめる。

まずはLAN->WAN方向のブロック

  • フィルタ種別 拒否
  • 通信方向 LAN->IPoE
  • プロトコル 全て指定
  • 送信元IPv6 全て指定
  • 宛先IPv6 2403:3a00:201:1e:****:****:****/128

2403:3a00:201:1e:49:****:****:**** にpingを送るとブロックされて table=filter の破棄ログが残る。期待通りだ。そりゃそうでしょうとも。

次はIPoE->LANで指定してみよう

  • フィルタ種別 拒否
  • 通信方向 IPoE->LAN
  • プロトコル 全て指定
  • 送信元IPv6 2403:3a00:201:1e:49:****:****:****/128
  • 宛先IPv6 全て指定

2403:3a00:201:1e:49:212:207:53 にpingを送ると順当にブロックされ・・・ずに普通に通信できるぞ??

さらにIPoE->LANで試してみる

  • フィルタ種別 拒否
  • 通信方向 IPoE->LAN
  • プロトコル 全て指定
  • 送信元IPv6 2403:3a00:201:1e:49:****:****:****/128
  • 宛先IPv6 pingの送信元PCの一時IPv6アドレス

やはりpingが通ってしまう。

全ての条件を試したわけではないが、IN方向フィルタの送信元にブロックしたいIPアドレスを指定するとフィルタが効かないという事があるようだ。あるようだじゃねえ、ダメだろこれは・・・。

IPv4(v6プラス接続時)のフィルタでも同様の結果となった。

つづくかも

コメント

  1. […] PR-500KIの動作がおかしい3 おすすめ記事 PR-500KIの動作がおかしい […]

タイトルとURLをコピーしました