[plamo:25532] Re: nsupdateのためのbind9設定

[早間]

From: 須々木俊太 <shunta@leto.eonet.ne.jp>
Subject: [plamo:25531] Re: nsupdateのためのbind9設定
Date: Tue, 17 May 2005 11:10:16 +0900
Message-ID: <42895288.8020904@leto.eonet.ne.jp>

> こんなものを見つけました。
> コレガ社のFAQなのですが
> http://www.corega.co.jp/support/faq/search/faq116.htm
> 
> ***上記URLより一部抜粋***
> なお、以下のルータに関しましては、ルータのLAN内のPCから、ルータのWAN側の
> IPアドレス、もしくはルータにて設定しているダイナミックDNSのドメイン名に
> てアクセスすることが出来ます。
> ※ただし、別回線などからご確認頂きますことをお勧め致します。
> 

発 IP を LAN の IP の時でも、着 IP に NAT を効かせるのでしょうか。
Web には書いてありません。
発 IP アドレスが自分のホストで外から来るパケットはブロックしている
のでそう言った意味では危ないかも知れません。

# snort で見ると実に様々な発 IP アドレスのパケットが来ます。
# 192.168.x.x どころか 127.0.0.1 発のパケットがあります。
# 自分発自分着のパケットに応答するとループを起こし、事故に遭うこと
# があります。最もシンプルな？web サーバアタックとして記述されてい
# ます。１パケット？でダウンです(厳密には１パケットではありません)。
# なお、linux の pppd では 127.0.0.1 を発 IP とするパケットはリレー
# されません。(他は分かりませんが、Linuxでは確認しました。)
#
# LAN の IP を予測した攻撃もあります。以前、LAN IP が
# 192.168.0.0/24 になっていることを前提にした、DNS 書き換え
# (nsuudate)攻撃を受けた事があります。長く続いたのですが、JPCERT
# もプロバイダも手を貸してくれませんでした。結局自己防衛しか無いよ
# うです。ネット上では軍備を増強する必要があります。 
# 小説「ネットフォース」の様に相手にダメージを与えることが夢です。
# メーカがデフォルトで指定している 192.168.0.1 は危険かも知れませ
# ん。
# 今回の NTT ルータはディフォルトが 192.168.1.1 になっていました。
# それでも最初は IP の変更です。

-- 早間 義博
    メイリングリストから送られてくるメイル以外届きません。