Re:シルの日々の戯言。

散財が生き甲斐になりかけている、デジタルガジェット大好き自称黄色いネズミの戯言。

URLフィルタリング機能があるらしいので手持ちのルーター(RTX1100)に設定してみた

自宅サーバ

もう少し、RTX1100のコンフィグを設定するお話を(自身の勉強の為に)続けるんじゃ。*1

何だかんだで思惑通り回線の冗長化(主回線+予備回線)構成の設定をしましたが、他に少々古めのルーターRTX1100でなんか出来ないかなぁ・・・と企んでいるところ、どうやらURLフィルタリング機能*2が備わってるらしいと小耳に挟んだので、チョット物は試しにURLフィルタリング機能を使ってみようと思った次第です。

・・・いえ、私自身は別に大人なのでエッチなサイト見ても構わないですが、信憑性と言うか色々と問題のある非常に評判の悪いWebサイトさんが少なからず存在するので、誤ってアクセスしない為に一応設定しておこうかなぁ・・・と思いまして。

チョットした問題点

仕様面以外*3でチョット困った問題点があったりするので先に綴っておきます。

・・・単刀直入に言うと、Android端末のChromeでデータセーバー(通信圧縮機能)を有効にすると今回のURLフィルタリング機能が効きません。多分、PC版(Windows/Mac)もデータセーバーの拡張機能を導入すると同じ問題が発生すると思います。*4
Chromeのデータセーバーの細かい仕様は軽く調べても明確な情報が出てこないのでよく分かりませんが、GoogleのProxyを通してやり取りしているようなのでルーター(RTX1100)から見るとGoogleとしか通信してないように見えるからだと思われます。何となく綴ってるので確証は無いけど。*5

回避方法としては、データセーバーを無効化する必要がありますが・・・、・・・まぁある意味ザルなフィルタリングなので*6致し方無い部分はありますが、世の中上手くいかないものだなぁ・・・と思ったり思わなかったりしています。

URLフィルタリング機能の設定方法

コマンドリファレンス辺りに細かい情報が乗ってたりします。
厳密には「内部データベース参照型」と「外部データベース参照型」の2種類があり、今回設定するのは「内部データベース参照型」のURLフィルタリング機能です。*7

URLに含まれるキーワードでアクセス許可・拒否を設定*8出来たりしますが、今回は特定のサイトへのアクセスを禁じたいので、ドメイン名を指定します。
とりあえずルーターtelnetなりsshなりシリアルコンソールなりでログインし(管理者権限に変更した上で)以下のコマンドを叩きます。

url filter 1 reject [アクセス禁止にしたいサイトのドメイン]
url filter 2 reject [アクセス禁止にしたいサイトのドメイン]
(以降、規制したいサイトの数だけ)
url filter 128 pass *

設定したいフィルタ数は(基幹ネットワーク向けの製品を除くと)128個まで登録出来ますが、最後の一つは実質的に「上記で指定したサイト以外はアクセス許可」と言う定義*9として登録するため、実質的にアクセスを禁止したいサイト・キーワードを127個まで登録可能となります。

ただ、これだけでは単にURLフィルタリングの定義を設定しただけなので、この定義を適用させる必要があるので、以下のコマンドを叩きます。

pp select 1
url pp filter out 1 2 [以降追加した分だけ] 128

上記の例はPPPoEで接続している場合の例なので、イーサネット回線で接続している場合は「url lan2 filter out 1 2 (ry」となります。
設定は上記のコマンドを打ち込んだ直後に反映されるので、すぐに有効となります・・・が、忘れず「save」と打ち込んでおきましょう。(で無いとconfigが保存されません)

動作確認

実際にアクセス禁止にしたサイトに接続しようとすると、以下の様な画面が表示されます。*10
f:id:sylvester:20160728232553j:plain
大変わかり易く、「ブロックされました」と共に禁止理由が記載されます。

続いて実験として、エロ広告が満載でスマートフォンで見ると(エッチな広告満載で)周囲の目を気にする必要があるアキバBlogさんのサイトを生け贄に、エロ広告のドメインをアクセス禁止に設定してみました。*11
利用機種はXperia Z5 Premium、ブラウザはフィルタ無し想定が(データセーバー有効にしてルーターのURLフィルタリングを回避させて表示した)Chrome、フィルタ有効化想定がFirefoxです。
【URLフィルタなし】
f:id:sylvester:20160728234222j:plain

【URLフィルタあり】
f:id:sylvester:20160728234230j:plain
一目瞭然の結果です。モザイク化しても判断可能な肌色成分多めの広告が消え、画面下部のスクロール追随型広告も表示されていません。ある種の広告ブロックとして機能しています。・・・が、これ、広告収入が無くなっちゃうパターンなので、サイト運営者目線で見ると非常に問題ある状態だよなぁ・・・。*12

意外と簡単に設定出来たので利用していきたい機能です

思い立ったので物は試しにと設定を始めたものの、簡単に設定ができたので有効的に利用していきたい機能です。
ただ、仕様上の都合で約100件しか登録出来ないのである程度厳選する必要があるので、個人の趣味では無く実際の業務で利用する場合はチラッと書いた「外部データベース参照型」の利用も合わせて実施すると、好ましく無いサイトへのアクセスを抑制することが出来ると思います。*13

・・・が、外部Proxyを利用してしまうとルーター側の設定を無視して禁止サイトへ接続出来てしまう弱点もあるので、気休め程度に考えてURLフィルタリング機能を利用していこうと思います。

*1:紆余曲折ありましたが、苦手意識を持ってるネットワーク周りの事で興味持ったのでもうチョットだけRTX1100で出来る設定をやってみたいんです・・・

*2:業務遂行の上で好ましく無い娯楽性の高い動画共有サイトや、違法性の高い情報が掲載されているサイトなどへのアクセスを拒否する為に利用する機能です。一般家庭では子供に有害なサイトを見せない為に利用する機能ですね。

*3:HTTPS通信はフィルタリング出来なかったり、俗に言う日本語ドメインは指定出来なかったり一部制約は存在します。

*4:趣味で設定しているだけなので、あまり細かく原因調査はしていませんが、恐らく外部の適当なプロキシサーバを通したり、Opera MAXなどの通信データ圧縮機能を利用するとルーターのURLフィルタリングをすり抜けてしまう気がします・・・

*5:まぁ、何処で圧縮してデータ通信を抑制させるのか少し考えれば分かることなんですけれども、ソースを見つけられず、幼稚な状況判断で綴ってるので間違ってたらサーセンって奴です;

*6:本来は企業向けなので、社用PCで従業員が仕事せず遊ばないように抑制させるような機能ですし・・・

*7:外部データベース参照型は、いくつかの有料サービス事業者からリストを取得して設定するタイプです。

*8:例えばURLにadultやgame、crackなどが含まれていたら一律禁止することも可能です。

*9:厳密には異なるので、詳しくは上記のコマンドリファレンスを参照。

*10:試しにアクセス禁止にしたサイトを晒すのは色々と問題があるのでアドレスはモザイク処理済みです。

*11:アキバBlogさん実験の生け贄として利用してごめんなさい、でもチョットエロい広告多すぎてスマホで見るのはツラいんですorz

*12:閲覧者目線では邪魔な広告が消えて好ましい状況ですが、Webサイトが収益を生まない状態となるので、こうならないように何としてでも広告を表示させなければならない状況だよな・・・;

*13:ただ、最新のRTX1210やNVR700W、少々型落ち感が出てきたRTX810は外部データベース参照型には非対応なので、チョッピリ注意が必要です・・・

ルーター(ヤマハ RTX1100)の設定を変更して、光回線+LTEモバイル回線の冗長化構成にしてみた

自宅サーバ

随分と前の出来事のように思えますが、スッタモンダありましたが何とか光回線開通したのでルーターの設定を変更しました。
sylve.hatenablog.jp

今年の初めに光コラボ回線用として中古・ジャンク屋に流れてたヤマハルーターのRTX1100*1を入手して利用しているので、設定変更と言ってもガッツリとコマンドを叩き込むタイプなので、あーでもないこーでもない・・・と泣きを見つつ、IT屋さんであり技術屋さんである私自身の弱点がネットワーク周りだったりするので勉強がてら楽しみつつ、若干奇抜な設定を捩じ込んでみました。
sylve.hatenablog.jp

今回の設定方針

前回はWiMAX2+の速度規制を緩和させる目的で、Wireless Gateが提供している3Mbps使いたい放題SIM・・・を挿したLTE回線のモバイルルーターとWiMAX2+回線を負荷分散させるためにマルチホーミングな設定を施していました。*2
sylve.hatenablog.jp

今回は光回線を導入したので負荷分散をさせる必要性はありませんが、外出時に利用している(例のWireless Gate提供3Mbps SIMを挿している)LTE回線*3モバイルルーターがあるので、興味本位で光回線が何らかの理由でダウンした場合のバックアップ回線としてモバイルルーター経由でインターネットに接続出来るように回線を冗長化構成にしてみました。
ちなみに現行の機種(RTX1210/RTX1200)であれば、光回線(PPPoE)+USB接続データ通信カードを用いたバックアップ回線の設定例はすぐに見つかりましたが、光回線(PPPoE)+イーサネット回線の組み合わせは無かったので、どう設定するのか割と頭を抱えたりしたとかしないとか・・・。

そんなこんなで、今回のネットワーク構成図はこんな感じです。

     [Internet]
      |       |
(flet's)    (WirelessGate)
      |       |
   [ONU]     [RM03LN]
      |       |
(LAN2)|       |(LAN3)
     +---------+
     | RTX1100 |
     +---------+
          |(LAN1)
          |
     [GS908L V2]---各種機器

末端部分はVDSL回線なので正しくはONUでは無いけれど、こまけぇこt(ry
一見すると前回のネットワーク構成とあんまり変化は無いけれど、LAN2側がPPPoE接続になりました。

configについて

今回のconfigは、ぶっちゃけYAMAHAサイトの以下の3つを良い具合に混ぜ混ぜしたキメラです。

通常の光回線を接続する場合が最初のconfig、続いてバックアップ回線側はモバイルルーターのRM03LNからDHCPIPアドレス貰うタイプなのでCATV回線のconfigを拝借、最後にWAN回線障害時の対応configを参考にPPPoE+イーサネット回線のバックアップ構成になるよう他力本願で頑張って設定してみました。

LAN1(内部ネットワーク側)の設定

これは前回と全く同一の設定です。

ip lan1 address 192.168.1.1/24
dhcp service server
dhcp scope 1 192.168.1.2-192.168.1.50/24

単純にDHCPを用いた適当な環境です。末尾2〜50は過剰に割り当ててる気がしなくは無いけれど、レコーダーだPS3無線LAN経由でスマホやらタブレットやらノートPCやら*4色々と繋がってるので、まぁ良いでしょう。

LAN2(光回線側)の設定

ほぼYAMAHAサイトのテンプレート通り。

pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISP接続用ID) (ISP接続用パスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp mtu 1454
ip pp secure filter in 1020 1030 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102
103 104 106 107
ip pp nat descriptor 1
pp enable 1

前回からの特異点は、きちんとフィルタの設定を施していること。前回まではモバイルルーターを挟んでいたため、面倒事をモバイルルーターに丸投げ出来ましたが、今回の場合は(ある意味直接外部に繋がってしまうので)最低限の設定をしておかないと攻撃され放題になってしまう為、きちんとフィルタの設定は行います。

LAN3(バックアップ回線側)の設定

こちらはほぼ前回同様&YAMAHAサイトのテンプレート通り。

ip lan3 address dhcp
ip lan3 nat descriptor 2

RM03LN(モバイルルーター)からIPアドレスを頂くだけです。

NAT周りの設定

こちらもテンプレート通りの設定。

nat descriptor type 1 masquerade
nat descriptor type 2 masquerade
nat descriptor address outer 2 primary

もしかすると、NATディスクリプタ適用設定で同じ番号(nat descriptor 1)を指定出来たのかも知れませんが、良くわからないので(!?)分けておこう。*5

DNS周り

ベースはYAMAHAサイトのテンプレートを利用、一部カスタマイズしてます。

dns service recursive
dns server select 1 pp 1 any . restrict pp 1
dns server select 2 dhcp lan3 any .
dns private address spoof on

DNSサーバについては、基本的にはISP側から自動提供されたり(LAN2側)、DHCP経由で提供されたり(LAN3側)するのでそれぞれ自動取得するように設定しています。
また、基本的には光回線側を利用するため、光回線側が生きてるか否かを判定する為に「restrict pp 1」なる文言を追加しています。

ゲートウェイ周り

ヤマハルータのコマンドリファレンスを参照して設定しました。

ip route default gateway pp 1 hide gateway dhcp lan3 weight 0

基本的には光回線側(pp 1)を利用するが、もし光回線側がダウンしている場合はモバイルルータ側(lan3)を利用するようにしています。
当初、両方共「hide」オプションを付けたら意図しないマルチホーミング状態になってしまい、両方の回線を使うようになってしまいましたが、コマンドリファレンスを参照したらアッサリと解決。・・・コマンドリファレンスって見てみるものですねぇ;

フィルタ関連

完全にYAMAHAサイトのテンプレート通りです。

ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.1.0/24 *
ip filter 1030 pass * 192.168.1.0/24 icmp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp

なお、NetMeetingを利用しないのでテンプレートに記載のある「ip filter dynamic 105 * * netmeeting」は追加していません。
・・・しかし、この辺はもう少しきちんと勉強して何がどう言うことなのかを理解しておかないと、今後自宅サーバを公開する場合に泣きを見そう・・・。

そこまでしてネットに繋ぎたいのか・・・

ネット中毒者では無いので、*6何も光回線が落ちた状況下でもネット接続したいわけじゃありませんが、ただ設定出来るらしいのでやってみたかっただけと言う自己満足の塊です。

実際に設定する場合は、恐らくはPPPoE+ISDN回線だったり、テンプレート集にあるようなPPPoE+USBデータ通信カードだったりするんでしょうけど、まぁ役に立つかどうかは知らないが個人的な欲求が満たせたので良いとしましょう。

*1:早い話が業務用、一般の家庭ではまず利用しない系統の機械です。

*2:裏話として、Wireless Gate回線は大容量通信(ニコニコ動画を筆頭とした動画共有サイトApp Storeなどでのダウンロード)を行うと即時通信規制が発生するようで実用にならないレベルの低速になってしまうので、マルチホーミングの設定をした割には有効利用していなかったりします・・・

*3:Wireless Gate回線はそこそこの速度でスマートフォン経由で使う大前提であれば便利ですが、バックアップ用の回線として利用する場合は表に出てこないチョットキツすぎる通信規制を考えると月々1680円出すのはチョット高いので、イオンの480円1GB/月の格安SIMで良いかなー・・・と思い始めたりしている今日この頃です。

*4:気が向いたら常時利用しているクライアント(PCやスマホタブレット)を調べておく必要がありそうな気がしますね。独身の割には無駄にIPアドレス持つ機器多いですし・・・

*5:もう少し調べないとアカン・・・

*6:ただ、自宅ではパソコンやタブレット、外出中はiPhoneや(MVNO SIM挿した)Xperia、挙句の果てにApple SIM挿したiPad Proを完備している状況を考えると・・・贔屓目に見ても常にインターネット接続環境が無いと落ち着かない完全なネット中毒者ですね;

以前から気になってたAbemaTVをスマートフォン・タブレット端末に導入してみた

戯言

最近良い具合に更新頻度多めで戯言ブログを更新していましたが、珍しく週末に戯言を更新せずダンマリしてた理由は、単純に土曜日に無茶して20km程度歩き回って、その上で無理して日曜日も無理して歩き回ったお陰で未だにグッタリしている日々です。

閑話休題、最近ネット回線が光回線になったことを良い事に色々アプリを物色し、少し前にニュースサイトなどで話題になってたAbemaTVを突っ込んでみました。

AbemaTVってなんぞ?

abema.tv
サイバーエージェントテレビ朝日が互いの思惑により設立されたCSっぽいネットテレビ見たいなものらしいです。*1
本当はサイバーエージェントのブランド名「Ameba」を用いた「AmebaTV」なる名称を利用したかったようですが、他社が既に「AmebaTV」と言う名称を利用されてたので苦し紛れで(後付け設定っぽい)マスコットキャラクターの「Abema」の名前を借用して命名されたらしい。*2

何で今さら興味持ったんだ?

単純に自宅インフラが素晴らしいレベルで改善されたため、リッチなコンテンツ*3を楽しめるようになったので、なんか使ってみたいと言う漠然とした思いから、詳細は知らんがAbemaTVとか話題になってたなぁ・・・と思い出した為です。

AbemaTVの何が良いんだ?

個人的にツボった部分もあるので簡潔に箇条書きで書くと・・・

  • 基本無料で利用可能
    • 有料プランもあり、見逃した作品のバックナンバーと閲覧可能
  • スペースシャワーTV運営のチャンネルがある*4
    • 邦楽PVを新旧交えて垂れ流してくれるので、作業用BGMに最適
  • 新旧アニメが垂れ流し(アニメ専用チャンネルだけで4チャンネルもある)
    • スペシャch見てたら番宣で「ラブライブサンシャイン!」と流れて、直前のPV内容との落差に思わず草
  • Android版は地味にChromecast対応

スペースシャワーがチャンネル持ってるとは予想外で、CS加入しないと見れないなぁ・・・と思ってたところがまさかの無料チャンネル扱いだったのには驚きでした。・・・いえ、前職のカー用品店の中の人時代に職場でCSのスペシャTVを垂れ流ししてた影響で何かと気にしているチャンネルでして、これできゃりぱみゅさん*5を知りましたし、君の知らない物語のPVがシオンタウンじゃねーか!!!11*6と知ったり新たな発見があり、何かと気にしているチャンネルだったので、まさか(CS側とは大きな差異はあるでしょうが)無料で見れるとは思っていませんでした。

更に地味にAndroid版はChromecastに対応しているので、大画面でAbemaTVを楽しめるのも嬉しい点です。更に言うと、番組次第ではフルHD品質で番組を楽しめるので、普通のテレビに映しだしたとしても地デジやBS/CSと同等の綺麗な映像で楽しめます。*7

今のところは大きな不満なく利用していますが、もう少しAbemaTVを使い続けて見て継続利用するか否かを判断したいと思っています。

*1:直近だと深夜アニメの放送チャンネルとして多少話題になったりしているアレですね。

*2:ソースはWikipediaさん、しかし名称がAmebaと関連ありそうで無さそうでよく分からなかったけど、そう言う経緯があったのか・・・

*3:この文面的にはデータ通信量が非常に多いコンテンツ、例えば動画や画像を尋常では無いレベルで盛り込んだWebサイトなどの事を指します

*4:興味持って適当に見始めて、真っ先に「ワイ、使い続けるわ・・・」と思った理由がこれだったりします。

*5:きゃりーぱみゅぱみゅさんを激推ししてた時期でしたので、気付いたら最初期の楽曲はiTunesで買い漁ってました。

*6:楽曲は聞き覚えがあり、ニコ動で散々ネタにされてたりしていましたが、まさかPVで見覚えのある場所がガンガン出てるとは驚きました・・・

*7:Chromecast経由でテレビに映し出した時、妙に綺麗に表示されると思ったら、フルHD対応だったのか・・・。