【UTM】統合脅威管理スレ (396レス)
上下前次1-新
抽出解除 レス栞
210(5): 2020/01/30(木)21:10 ID:MsTRX8eg(3/3) AAS
(続き)
あとは、Firewallルールのところで、IPv6の設定で全て許可するルールを作る。
IPマスカレードはデフォルトのMASQを使えばよい(別に作成する必要はない)。
基本はこのような設定でIPv6の通信は可能になる。
但し、RAでのIPアドレスの確定は、端末を特定できないという問題がある。
恐らく、201氏はUTMに期待する事として、IPSの設定もしているだろうから、SSLインターセプトのために、
ルート証明書をインストールできる端末とできない端末とで区別する必要があるだろうとは思う。
そうなると、M FlagをOnにしてDUID(端末固有情報)を元に、端末を区別したくなる。が、IPv6の実装として
一時IPアドレスとかのややこしい話が出てきてしまい、うまく端末管理が出来ない。
長くなったので一旦はこの辺で。
211: 2020/02/03(月)23:42 ID:JHjoTD8N(1) AAS
>>210
感謝!確かにipv6で通信できました!
212: 2020/02/04(火)10:20 ID:6reZdWWb(1) AAS
>>210
うおぉ、知りたかった事が一気に書かれてて感謝しかない
ホントにIPv6は調べれば調べるほど不可解な仕様だよなぁ…と思う
まして今もまだ新しい仕様や機能を加えているようだし
詳しく解説してくれて本当にありがとう!
きちんとメモ取ってやってみるよー
214: 210 2020/02/06(木)20:17 ID:eBamDK/X(1/3) AAS
(XGのIPv6の続き)
さて、IPSで端末を固定する必要があると書いたが、M FlagがOff、O FlagがOnの状態だと、ネットワーク>DHCPでIPv6のリース状態が分かるが、
215: 210 2020/02/06(木)20:18 ID:eBamDK/X(2/3) AAS
(失礼、途中で書き込んでしまった)
216: 210 2020/02/06(木)20:37 ID:eBamDK/X(3/3) AAS
さて、IPSでSSLインターセプトを使うには、端末を固定する必要があると書いたが、M FlagがOff、O FlagがOnの状態において、ネットワーク>DHCPでIPv6のリース状態を参照すると、
IPv6の端末について、DUIDがリストされると思う。DHCPv6の設定でDUIDマッピングによるIPv6のアドレスを固定で設定可能なので、
固定IPアドレスとDUIDの組み合わせを登録しておくと、DUIDを元にした固定IPが配布可能となる。次に、IPv6ルーターアドバタイズドの設定で、M FlagをOn、O FlagをOnとし、
アドバタイズ設定のプレフィックスの項で記載されている「匿名」のチェックを外す。これで一時IPアドレスは割り振られず、端末に1つの固有IPv6が割り当てられる。
Win10、iPhone、mac、Linuxについては配布されるIPの管理が可能になり、IPSの管理も捗ると思う。残念ながらAndroidはDHCPv6に対応してないので、この設定を行うとIPv6の設定がうまくいかない。
はっきりいって、ここまで面倒な事をやるなら、RAやDHCPは使わず、最初からStaticでIP設定した方が良いのかもしれない。
いろいろ余計な事を書いたが、頑張ってチャレンジしてほしい。何かのお役に立てれば。
(何度か書き込みミスってしまい、皆には申し訳ない)
上下前次1-新書関写板覧索設栞歴
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 2.516s*