No.3451　MN8300にて。

MN8300にて。 - tre 08/23-15:54 No.3451
- ネットワークの可能性が大です。 - おやじ 08/23-20:22 No.3454
  - Re: NAT設定ミス - tre 08/25-13:15 No.3469
    - おやじもウイルス対策していたのを忘れてました。 - おやじ 08/25-20:20 No.3474
      - Re: おやじもウイルス対策していたのを忘れてました。 - tre 08/26-13:12 No.3482
        
        普通のインターネットアクセス同様です。 - おやじ 08/26-14:02 No.3483
        
        Re: 普通のインターネットアクセス同様です。 - tre 08/26-14:58 No.3485
        
        WAN側から通信が始まる場合はという条件ならそうです。 - おやじ 08/26-15:34 No.3487
        
        Re: なるほど・・ - tre 08/26-17:55 No.3488

No.3451　投稿時間：2004年08月23日(Mon) 15:54　投稿者名：tre　ＵＲＬ：
タイトル：MN8300にて。

NTT-MEのMN8300を購入しまして、このページを参考に
フィルタリングの設定をしたのですが、外からのpingが
通りません・・どこか設定の足りないところがあるのでしょうか？
ICMPプロトコルを通す部分は設定されています。
NTT-MEサポートがまったくつながらないので困っております
パソコンおやじさん教えてください！

No.3454　投稿時間：2004年08月23日(Mon) 20:22　投稿者名：おやじ　ＵＲＬ：http://www.aconus.com/~oyaji/
タイトル：ネットワークの可能性が大です。

> NTT-MEのMN8300を購入しまして、このページを参考に
> フィルタリングの設定をしたのですが、外からのpingが
> 通りません・・どこか設定の足りないところがあるのでしょうか？
> ICMPプロトコルを通す部分は設定されています。
> NTT-MEサポートがまったくつながらないので困っております
> パソコンおやじさん教えてください！

おやじの所も駄目です。サービスはNTT系ですか？Fletsは最近通りません。
最近のウイルスはpingを投げてipの生き死にを確認して感染を試みたりするので、ネットワークでicmpを止めているところもあるようです。確かに、最近ルータでのicmpのブロックがでなくなっていますので、飛んできていないのだと思います。

No.3469　投稿時間：2004年08月25日(Wed) 13:15　投稿者名：tre　ＵＲＬ：
タイトル：Re: NAT設定ミス

MN8300をサーバとつなげていたんですけど、
その際にNATを使っていて、そこにICMPを
通すのを忘れておりました・・
現在はちゃんと通っております！

No.3474　投稿時間：2004年08月25日(Wed) 20:20　投稿者名：おやじ　ＵＲＬ：http://www.aconus.com/~oyaji/
タイトル：おやじもウイルス対策していたのを忘れてました。

> MN8300をサーバとつなげていたんですけど、
> その際にNATを使っていて、そこにICMPを
> 通すのを忘れておりました・・
> 現在はちゃんと通っております！

　これを見て思い出しました。実はおやじは、ウイルス対策としてNAT変換でICMPを存在しないアドレスにぶっ飛ばしていたのを忘れていました。これを消したらおやじのところも通りました。とくにNATはしなくても行くはずですがね。
ただ、これとは関係なくウイルス騒ぎの時にpingが通らなかった時もありましたので、ネットワークに異常負荷がかかるようだと、規制したりすることはあるのだと思います。

No.3482　投稿時間：2004年08月26日(Thu) 13:12　投稿者名：tre　ＵＲＬ：
タイトル：Re: おやじもウイルス対策していたのを忘れてました。

>とくにNATはしなくても行くはずですがね。
これはどういう意味でしょうか？
NATにICMPを通す設定をしなくてもサーバにpingが届くはずということですか？

No.3483　投稿時間：2004年08月26日(Thu) 14:02　投稿者名：おやじ　ＵＲＬ：http://www.aconus.com/~oyaji/
タイトル：普通のインターネットアクセス同様です。

> >とくにNATはしなくても行くはずですがね。
> これはどういう意味でしょうか？
> NATにICMPを通す設定をしなくてもサーバにpingが届くはずということですか？

そうです。普通のインターネットアクセス同様、ルータが要求元PCにNATしてくれるので、家庭内のどの端末からでもアクセスできます。少なくともおやじのところは、ダミーアドレスへの強制NAT設定をやめれば、どの端末からもpigはOKです。

No.3485　投稿時間：2004年08月26日(Thu) 14:58　投稿者名：tre　ＵＲＬ：
タイトル：Re: 普通のインターネットアクセス同様です。

MN8300というか、ルータのNATでは指定したローカルIPの
とあるポート(wwwやsmtpなどです)に、TCPのみ通るように
設定しておけば、それ以外のパケットは廃棄されるもんだと
認識していたんですが・・違うのでしょうか？

No.3487　投稿時間：2004年08月26日(Thu) 15:34　投稿者名：おやじ　ＵＲＬ：http://www.aconus.com/~oyaji/
タイトル：WAN側から通信が始まる場合はという条件ならそうです。

> MN8300というか、ルータのNATでは指定したローカルIPの
> とあるポート(wwwやsmtpなどです)に、TCPのみ通るように
> 設定しておけば、それ以外のパケットは廃棄されるもんだと
> 認識していたんですが・・違うのでしょうか？

　合っているといえば合っているのですが、枕言葉がひとつ抜けています。それは、「WAN側から通信が始まる場合は」という条件です。そもそもNATアドレス変換は、WAN側から通信が始まる場合は、どこのローカルIP向けの通信かが分からないため、明示的に設定しておいて、もし設定してあるポートにインターネットからアクセスがあったら、そのポート用に設定されているローカルIPの端末にあて先IPアドレスを変換して中継してあげるためのものです。
　通信がローカルから始まる場合(普通のインターネットアクセス等)は、ルータはどの端末がアクセスしてきたかが分かっているので、WAN側に中継するときに送信元アドレスを自分のWAN側グローバルに変換し(つまり帰りはここに変ええてきてほしいので)、同時に送信元のポート番号を未使用のポート番号に変換して中継するとともに、要求元のローカルのIP/Portと変換後のポートを記憶しておき、帰りのパケットがきたらこのデータに基づき逆変換してあげるのです。これが、NAT(ポート番号も変換するのでNAPTというのが正解）機能です。ICMPは厳密にはTCPとは少し違うのですが、同様にローカルから通信が始まったのを記憶していて、帰りのパケットを送信元に返してくれます。
　WAN側から通信が始まる場合は、この変換テーブルがないのでNATアドレス変換の設定で強制的に中継してあげているのです。
　あまりうまく説明できていませんが、下記のIPマスカレード(NAPT)やポートマッピング、フィルタリングあたりは参考になりませんかね。

　http://www.aconus.com/~oyaji/router/router.htm

No.3488　投稿時間：2004年08月26日(Thu) 17:55　投稿者名：tre　ＵＲＬ：
タイトル：Re: なるほど・・

なるほど・・
私の方で、外というのをWAN側と明記していませんでした
申し訳ないです
詳細の解説ありがとうございました！

｜掲示板｜▲頁先頭｜

No.3451 MN8300にて。

No.3451　MN8300にて。