職場で、外向きDNSの設定の確認が必要になり、 自宅サーバに login して、DNS の設定を確認するんだけど、 どうもおかしい。セキュリティ的に危ない問い合わせに 返答をしないはずなのに、返答が返ってくる。

DNS問い合わせが乗っ取られた???

おかしい状態がはっきりしたのは、以下のように、 DNSサーバに 1.1.1.1 なんてデタラメを指定したのに、 DNSからの返答が返ってくる。

$ nslookup www.google.com 1.1.1.1
$ dig @1.1.1.1 www.google.com

この時点では、クラッキングで dnsutils が書き換えられ ているかと思われ、ヤラレタ…と思っていた。 でも、

$ shasum `which nslookup` `which dig`

の結果を、職場のサーバと比較しても、同じ値であった。 でも自宅でなければ…と考えたら、プロバイダが DNS問い合わせポート番号 #53 のパケットを強制書き換え しているとしか思えなかった。

でも、言論統制のためにアホな国の DNS 乗っ取りが、 この日本で起こるわけでも無し…と再び悩む。

しかし、プロバイダよりも、我が家のルータはコンテンツ フィルタ機能のルータ WZR-1166DHP2 で、 指定した制限端末にはパケットフィルタ用のDNSを返す 技があることを思い出し、ファームのバグを再び疑う。

アダルトサイトだけ、DNS 情報が書き換えられる

すると、同僚より「アダルトだとなんか違う挙動を示すとか…」 との一言から、以下の実験を行った。

$ dig @1.1.1.1 アダルトサイトドメイン名

を実験すると、156.154.176.229 が返ってくる。 アダルトでググると出てくるドメイン名は、すべて同じ。 そのくせ、

$ dig @1.1.1.1 普通の真面目なドメイン名

だと、正しいIPアドレスが返ってくる。 ということで、コンテンツフィルタが原因であることが判明した。

以上のことから、自宅ルータのコンテンツフィルタ機能を 停止させたら、無事正しい挙動(1.1.1.1にDNS問い合わせしても つながらず返答無し)に戻った。

つまり、Connect Safe は、制限端末の接続時に、DHCP機能でフィルタリング用のDNSサーバを教える。そのDNSは、アダルトなサイトなら正しいIPアドレスを返さないことで、 接続を危ないサイトに近づけさせない。

これに加え制限端末以外でも、DNSのパケット(Port=53)で、アダルトサイトなら Connect Safe 専用のIPアドレスに誘導させる。 このアドレス上では、Reverse-proxy を動かし、アダルトサイトなどの情報を収集する… という方式と思われる。

新しく入れたルータ(WZR-1166DHP2)だけど、 デバイスコントロールの機能で端末の接続時間制限などができる。 子どもの端末・ゲーム機の利用制限という意味では便利。

だけど、この機能を使っていると、パソコンが時々自宅内の サーバ接続ができなくなる。原因を調べると、DNS情報が原因。

DHCPを止めてあるのにルータが勝手にDNS情報を流す…

我が家では、自宅内のパソコン・端末・ゲーム機の管理のために、 自宅内のLinux機で、DHCPサーバとDNSサーバを動かしている。 その代り、ルータのDHCP,DNS機能は止めてある。 そして、自宅内サーバを自宅外からも利用できるように設定している。

でも、ルータのデバイスコントロール機能を使っていると、 時々ルータが、DHCP,DNS情報を垂れ流すみたい。 その情報をパソコンが拾ってしまい、自宅内のDNSと自宅外のDNS が混在し、トラブルを起こしているみたい。

アクセス制限・フィルタを使わない羽目に…

ということで、子どもの端末のアクセス制限やコンテンツフィルタを 目的にこの機種を選んだけど、 (1) コンテンツフィルタが自宅内DNSを動かしていると効き目がない、 (2) アクセス制限が間違ったDNS情報を垂れ流す… ということで、購入理由となった機能を止めるハメになった。

まあ、我が家では、自宅内に子どもの端末専用のProxyを動かして、 時間制限とコンテンツフィルタを実現しているので、ルータにその機能が無くてもいいんだけどさ…(x_x;

自宅のルータが壊れて、新しいWiFiルータ WZR-1166DHP2 を購入したけど、 この製品には子どもの利用制限のための、 アクセスフィルタと時間制限の機能が付いている。

アクセスフィルタは、Linuxで専用のDHCPを動かしているので、 役に立たないことが判明したけど、以前よりProxyサーバ上で コンテンツフィルタを運用しているので、まあ良しとしよう。

利用時間帯制限

でも、子どもが夜遅くまで端末を使ってしまうこともあるし、 ルータの時間制限機能を試してみた。 ProxyでWebアクセスを制限するのと違い、ルーティングごと止めてくれる ので、確実に制限できる。しかも、曜日と時間帯のタイムテーブルを 設定できる。

ということで、図のようなタイムテーブルでアクセス制限をかけてみた。 単独で時間をみると、2〜4時間の許可となっているが、その時間帯は 食事や風呂や宿題をしている時間でもある。 このため、ネットワークに接続できる時間は、実質は長くないはず。

土日に、一日中許可しているように見えるが、自宅専用のコンテンツフィルタは、 使い始めて一定時間接続すると、接続禁止となるようにしてある。

夜中に2時間接続許可をしているのは、夜中の更新を想定したもの。

どちらにしろ、状況をみてボチボチ設定を変更する予定。

自宅のネットワークの設定をしていたら、WiFiルータWZR-450HP が 起動しなくなって、初期化リセットかけたりしたけど、ダメ。 どうも壊れたみたい。 1月ほど前にも設定を変更したら、変な状態になって設定が戻るまで 手間がかかったけど、故障の予兆だったのだろうか…

ということで、早々にヤマダ電機で同じBuffaloの WZR-1166DHP2 を 購入。5MHz帯の 11ac/n/a なども使えるので、電波の干渉も少なく なるかな。設定は、定番で行ったけど、ひとまず元通り。

サーバでルータのパケット流量を測定するプログラムも、 ちょいと変更したら移行もできた。

コンテンツフィルタの機能付き

1166DHP2 を選んだのは、端末ごとに時間制限付きのコンテンツフィルタ を設定できるため。この設定は、ボチボチ行おう。

どちらにしろ、子どもに時間制限できるよ…って伝えたら、 ブーブー文句を言っていた。かといって、この春休み自由にネットワーク 使って遊んでいたし、時間制限はぜひともかけたい。

フィルタ機能を試そうと、ConnectSafe の設定をしてみたが、まるっきり効果がなかった。 おかしいと思い調べてみたら、ConnectSafe は、DNS を用いた無償のフィルタ。 DNSの問い合わせで、アダルトなどの危ないデータのホストの問い合わせがあったら、 ConnectSafeのDNSが、正しいIPアドレスを返却しない方式。 一方で、我が家では DHCPで端末に教えるIPアドレスの管理は、自前のLinuxサーバで行っている。 このルータは、端末のMACアドレス毎に「正規のDNS」と「フィルタ用のDNS」のアドレスを区別して 教えることができるようだ。だから、ConnectSafe の効果がないみたい。
ということで、自宅サーバのフィルタリングは今後も使うことになりそう。