「コンピュータ」カテゴリーアーカイブ

職場で、外向きDNSの設定の確認が必要になり、 自宅サーバに login して、DNS の設定を確認するんだけど、 どうもおかしい。セキュリティ的に危ない問い合わせに 返答をしないはずなのに、返答が返ってくる。

DNS問い合わせが乗っ取られた???

おかしい状態がはっきりしたのは、以下のように、 DNSサーバに 1.1.1.1 なんてデタラメを指定したのに、 DNSからの返答が返ってくる。

$ nslookup www.google.com 1.1.1.1
$ dig @1.1.1.1 www.google.com

この時点では、クラッキングで dnsutils が書き換えられ ているかと思われ、ヤラレタ…と思っていた。 でも、

$ shasum `which nslookup` `which dig`

の結果を、職場のサーバと比較しても、同じ値であった。 でも自宅でなければ…と考えたら、プロバイダが DNS問い合わせポート番号 #53 のパケットを強制書き換え しているとしか思えなかった。

でも、言論統制のためにアホな国の DNS 乗っ取りが、 この日本で起こるわけでも無し…と再び悩む。

しかし、プロバイダよりも、我が家のルータはコンテンツ フィルタ機能のルータ WZR-1166DHP2 で、 指定した制限端末にはパケットフィルタ用のDNSを返す 技があることを思い出し、ファームのバグを再び疑う。

アダルトサイトだけ、DNS 情報が書き換えられる

すると、同僚より「アダルトだとなんか違う挙動を示すとか…」 との一言から、以下の実験を行った。

$ dig @1.1.1.1 アダルトサイトドメイン名

を実験すると、156.154.176.229 が返ってくる。 アダルトでググると出てくるドメイン名は、すべて同じ。 そのくせ、

$ dig @1.1.1.1 普通の真面目なドメイン名

だと、正しいIPアドレスが返ってくる。 ということで、コンテンツフィルタが原因であることが判明した。

以上のことから、自宅ルータのコンテンツフィルタ機能を 停止させたら、無事正しい挙動(1.1.1.1にDNS問い合わせしても つながらず返答無し)に戻った。

つまり、Connect Safe は、制限端末の接続時に、DHCP機能でフィルタリング用のDNSサーバを教える。そのDNSは、アダルトなサイトなら正しいIPアドレスを返さないことで、 接続を危ないサイトに近づけさせない。

これに加え制限端末以外でも、DNSのパケット(Port=53)で、アダルトサイトなら Connect Safe 専用のIPアドレスに誘導させる。 このアドレス上では、Reverse-proxy を動かし、アダルトサイトなどの情報を収集する… という方式と思われる。

新しく入れたルータ(WZR-1166DHP2)だけど、 デバイスコントロールの機能で端末の接続時間制限などができる。 子どもの端末・ゲーム機の利用制限という意味では便利。

だけど、この機能を使っていると、パソコンが時々自宅内の サーバ接続ができなくなる。原因を調べると、DNS情報が原因。

DHCPを止めてあるのにルータが勝手にDNS情報を流す…

我が家では、自宅内のパソコン・端末・ゲーム機の管理のために、 自宅内のLinux機で、DHCPサーバとDNSサーバを動かしている。 その代り、ルータのDHCP,DNS機能は止めてある。 そして、自宅内サーバを自宅外からも利用できるように設定している。

でも、ルータのデバイスコントロール機能を使っていると、 時々ルータが、DHCP,DNS情報を垂れ流すみたい。 その情報をパソコンが拾ってしまい、自宅内のDNSと自宅外のDNS が混在し、トラブルを起こしているみたい。

アクセス制限・フィルタを使わない羽目に…

ということで、子どもの端末のアクセス制限やコンテンツフィルタを 目的にこの機種を選んだけど、 (1) コンテンツフィルタが自宅内DNSを動かしていると効き目がない、 (2) アクセス制限が間違ったDNS情報を垂れ流す… ということで、購入理由となった機能を止めるハメになった。

まあ、我が家では、自宅内に子どもの端末専用のProxyを動かして、 時間制限とコンテンツフィルタを実現しているので、ルータにその機能が無くてもいいんだけどさ…(x_x;

自宅のルータが壊れて、新しいWiFiルータ WZR-1166DHP2 を購入したけど、 この製品には子どもの利用制限のための、 アクセスフィルタと時間制限の機能が付いている。

アクセスフィルタは、Linuxで専用のDHCPを動かしているので、 役に立たないことが判明したけど、以前よりProxyサーバ上で コンテンツフィルタを運用しているので、まあ良しとしよう。

利用時間帯制限

でも、子どもが夜遅くまで端末を使ってしまうこともあるし、 ルータの時間制限機能を試してみた。 ProxyでWebアクセスを制限するのと違い、ルーティングごと止めてくれる ので、確実に制限できる。しかも、曜日と時間帯のタイムテーブルを 設定できる。

ということで、図のようなタイムテーブルでアクセス制限をかけてみた。 単独で時間をみると、2〜4時間の許可となっているが、その時間帯は 食事や風呂や宿題をしている時間でもある。 このため、ネットワークに接続できる時間は、実質は長くないはず。

土日に、一日中許可しているように見えるが、自宅専用のコンテンツフィルタは、 使い始めて一定時間接続すると、接続禁止となるようにしてある。

夜中に2時間接続許可をしているのは、夜中の更新を想定したもの。

どちらにしろ、状況をみてボチボチ設定を変更する予定。

自宅のネットワークの設定をしていたら、WiFiルータWZR-450HP が 起動しなくなって、初期化リセットかけたりしたけど、ダメ。 どうも壊れたみたい。 1月ほど前にも設定を変更したら、変な状態になって設定が戻るまで 手間がかかったけど、故障の予兆だったのだろうか…

ということで、早々にヤマダ電機で同じBuffaloの WZR-1166DHP2 を 購入。5MHz帯の 11ac/n/a なども使えるので、電波の干渉も少なく なるかな。設定は、定番で行ったけど、ひとまず元通り。

サーバでルータのパケット流量を測定するプログラムも、 ちょいと変更したら移行もできた。

コンテンツフィルタの機能付き

1166DHP2 を選んだのは、端末ごとに時間制限付きのコンテンツフィルタ を設定できるため。この設定は、ボチボチ行おう。

どちらにしろ、子どもに時間制限できるよ…って伝えたら、 ブーブー文句を言っていた。かといって、この春休み自由にネットワーク 使って遊んでいたし、時間制限はぜひともかけたい。

フィルタ機能を試そうと、ConnectSafe の設定をしてみたが、まるっきり効果がなかった。 おかしいと思い調べてみたら、ConnectSafe は、DNS を用いた無償のフィルタ。 DNSの問い合わせで、アダルトなどの危ないデータのホストの問い合わせがあったら、 ConnectSafeのDNSが、正しいIPアドレスを返却しない方式。 一方で、我が家では DHCPで端末に教えるIPアドレスの管理は、自前のLinuxサーバで行っている。 このルータは、端末のMACアドレス毎に「正規のDNS」と「フィルタ用のDNS」のアドレスを区別して 教えることができるようだ。だから、ConnectSafe の効果がないみたい。
ということで、自宅サーバのフィルタリングは今後も使うことになりそう。

spam の除去については定評のある gmail だと思うのだが、 久々に spam が届いた。

ただし、外国製の自動翻訳みたいで「一体なにを言いたいの？」 という文面。”reply-to”には、mdo@lv9.org の無料ホスティングの サーバみたい。

発信元は、botに感染した plala.or.jp のパソコンみたい。

お兄ちゃんが、食後のお手伝い頼んだのに、逃亡しやがった。ネットワーク切ったるねん。