|
正直言って、後悔しました。もっとよくリサーチして、自分のニーズに合致するブロードバンドルーターを選定すればよかったと思いました。その理由を以下に書きますが、それらはあくまで"フレッツADSLを利用してサーバーを公開する"というニーズに合致しなかった点であり、普通にインターネットに接続してWebとメールだけを利用するユーザーにとってはBAR
SW-4P Proは、内部転送速度が速く使いやすいブロードバンドルーターであることは間違いないと思います。特にWAN側のインターフェースが100Mbps対応の製品は、私が購入した時点では市場にほとんど存在せず、この製品が有力な選択肢であったことは間違いありません。
私のようなニーズを持つ人間がこの製品を選択したこと自体が間違いだ、といわれればその通りですが、
1. Syslogが取れない
これが一番の困りものです。MN128の場合、Syslogサーバーを指定すればLinuxマシンでSyslogを取ることができましたし、Syslogのレベルも指定できました。Windowsマシンで利用する場合にも、"Syslogトリ"というツールをBUGが用意しており、そのツールを利用すればSyslogを収集して参照することができます。しかし、BAR
SW-4P Proでは、Syslogを別のマシンで取得するどころか、Syslogに関連する設定が一切ありません。要するにSyslog自体を一切サポートしていないのです。
これが何を意味するかというと、例えばポートスキャンやFTP/Telnet等の接続試行などの攻撃が仕掛けられたときに、それを検知する手段が一切ないということを意味します。また、ルーター経由で利用することができないアプリケーションが存在する際に、Syslogのパターンを見ながら利用しているポートを特定し、利用できるようにするという技もできません。
2. Telnetで入れない
これにも困っています。SOHOレベルの商品はともかく、通常ルーターと名が付く製品はまず間違いなくTelnetで入ることができるようになっています。Telnetというプロトコル自体の設計の問題に起因するセキュリティの問題からあまり利用されなくなってきてはいますが、実際よく利用されています。
MN128はWebで全ての設定を行うことができるようになってはいますが、Telnetで入って同様の操作を行うことも可能になっていました。Telnetクライアントがないシステムは皆無といっても良いくらいなので(Palmでさえあります!!)、LANに物理的に接続できるマシンがあれば、間違いなくTelnet経由でルーターの設定を行うことができました。
しかし、BAR SW-4P Proが持っている対ユーザーのインターフェースはWebのみです。通常の用途でしたらこれで困ることはそうはないかもしれませんが、例えばLinux用Netscapeではうまく動作しないことがUnix
Userの2002年3月号に明記されていますし(Mozillaは大丈夫なようです)、そもそもXが入っていないUnixシステムでは手も足も出ません(Lynxやw3cという逃げ道はありますが)。また、ルーターの動きを制御するスクリプトを書くのも、Telnet経由かWeb経由かではだいぶ話が変わってきますので、煩雑になることは間違いありません。
3. 簡易ファイアウォール機能?
"簡易ファイアウォール機能搭載"ということになっていますが、明示的に指定しない限りデフォルトで外部からの接続を一切受け付けない、という事を指して言っているようです。これって、普通にIP
Masquaradeをかました場合の挙動ですよね....
4. フィルタリング機能が貧弱
内部->外部へのパケットについて、IPアドレス単位もしくはポート番号単位で止める事ができる、というだけで、外部->内部を守る機能は一切ありません。確かに普通にユーザーとしてインターネットに接続するだけであれば、先の簡易ファイアウォール機能?で外部->内部への接続は一切許されませんのでフィルタする必要はないかもしれません。しかし、BAR
SW-4P Proにはサーバーを公開するための機能(DMZ機能、バーチャルサーバー機能)がちゃんと用意されているにもかかわらず、そのサーバーを守るためのフィルタ設定を行うための機能そのものが欠落しているので非常に困ります。バーチャルサーバー機能はポート指定で外部からの接続要求を内部の指定したサーバーにを転送する機能なので問題はあまりありませんが、DMZ機能を利用してサーバーを公開した場合、ルーター的にそのサーバーを守ってくれる機能は一つもないのです。
MN128では、機種によっては違いはありますが最大64フィルタの記述が可能で、接続元IP/接続先IP/プロトコル/ポート番号/接続先などを組み合わせたかなりきめ細かな設定ができたので、ルーターで自分が望まないトラフィックをかなり制限することができたのですが....
5. バーチャルサーバー機能が貧弱
先にも書いたとおり、ポート指定で外部からの接続要求を内部の指定したサーバーにを転送する機能をバーチャルサーバー機能と呼びますが、この最大記述件数が10件になっています。これは本格的にサーバーを構築するにはあまりに件数が少なすぎるといわざるを得ません。私は現在この機能を利用してWWW/SMTP/NTP(TCP/UDP)/IDENTのみを転送するように設定していますが、これで既に5件です。これにDNS(TCP/UDP)/POP/HTTPS/SSHを加えただけで、10件に到達してしまいます。例えばこれらに加えてTelnetやFTPなどを公開しようと思っても、バーチャルサーバー機能を利用するだけでは実現不可能ということになってしまいます。
6. 危険なDMZ機能を使わざるを得ない
こちらを見ていただければ分かりますが、私の家のネットワークには公開しているLinuxサーバーとは別に、Windowsのマシンもいます。そのマシン上で、インターネットを利用するアプリケーションを利用することも当然あります。ICQやYahoo
Messenger、Real PlayerやUltima Online、XP付属のインターネットリバーシなどがその代表格ですが、それ以外にも色々利用します。MN128を利用していた頃は、サーバーを公開するための設定と、Windowsマシンでそれらのアプリケーションを利用するための設定とが共存できたので、セキュリティを確保しつつそれらのアプリケーションを利用することができました。
しかし、SW-4P Proでは、サーバー公開に利用する設定まで含めて、ポート転送の数の上限が10なので、ネットワークを利用するアプリケーション一つ一つについて転送設定を行おうとしても、到底数が足りません。このため、DMZ機能を利用せざるを得ないのです。
DMZ機能とは、SW-4P Proが持つグローバルIPアドレスに対して接続要求があった場合、無条件にその要求を指定したホストに転送する機能です。ただし、接続要求があったポートに対してバーチャルサーバーが設定されている場合は、その設定のほうが優先されます。結局、私がWindowsマシン上で今までと同じようにインターネットを利用するアプリケーションを利用するには、この選択肢しか残されていませんでした。しかし、DMZ機能を利用する代償として、私のWindowsマシンはインターネットから直接見える状態になっているので、あまり気分はよくありません....
|
